La mise en place d’une organisation conforme au référentiel SecNumCloud offre un gage de confiance fondamental pour les opérateurs d'importance vitale, les organisations institutionnelles, l'industrie et les services.

UN ATOUT STRATÉGIQUE ET UN GAGE DE SÉCURITÉ RENFORCÉ

La qualification SecNumCloud de l’ANSSI vise à attester de la qualité et de la robustesse d'un service cloud, de la compétence de l'opérateur de cloud ainsi que de la confiance pouvant lui être accordée.

Le LNE est reconnu par l'ANSSI en tant qu'organisme d'évaluation pour le référentiel SecNumCloud.

Services Cloud concernés

Les activités visées par le référentiel sont les SaaS (application hebergée sur un cloud), PasS (plateformes d’hébergement d’applications), CaaS (déploiement et orchestration de conteneurs) et IaaS (mise à disposition de ressources informatiques abstraites telles que la puissance CPU, de l'espace mémoire, du stockage, etc.).

Processus de qualification SecNumCloud

Le processus d’évaluation est un processus complexe à 3 entités : Commanditaire, ANSSI, LNE.
Il s'articule autour de 4 jalons :

  • J0 : Faire une demande de qualification auprès de l'ANSSI ;
  • J1 : Mise en place d’une stratégie d'évaluation pour le commanditaire ;
  • J2 : Mise en œuvre de l’évaluation initial ;
  • J3 : La décision de qualification faite par l’ANSSI se fera sur la base du rapport d'évaluation du LNE.

Le LNE vous accompagne tout au long de ces 4 grands jalons.

Résumé des différentes étapes de qualification SecNumCloud :

Image
Schema-processus-qualification-SecNumCloud

Opter pour une qualification SecNumCloud par étapes

 Le «Cloud Security Pass» permet aux prestataires d’attester qu’ils répondent par palier aux différentes exigences du référen­tiel SecNumCloud 3.2, et de se préparer par étapes à la qualifica­tion ANSSI si tel est l’objectif.

Il se décline en deux niveaux :

  • CloudPass n° 1 - Essential : évaluation visant à minimiser les risques élémentaires connus d’incident et de cyber-attaque, correspondant aux exigences essentielles du référentiel, soit environ 30 % d’entre elles,
  • CloudPass n° 2 - Substantial : évaluation visant à minimiser les risques liés à la cybersécurité connus, et le risque d’incidents et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées, correspondant aux exigences substantielles du référentiel, soit environ 60 % d’entre elles.

Un rapport d’évaluation du LNE est émis à l’issue de l’audit de chaque étape.

Les exigences

 

Image
Schema-exigences-SecNumCloud

Bénéfices de la qualification SecNumCloud

Grâce à la méthodologie déployée, le « Cloud Security Pass » offre aux prestataires les bénéfices suivants :

  • Démontrer la maîtrise d’un sous-ensemble des exigences du référentiel SecNumCloud version 3.2,
  • Valider des niveaux de sécurité des services proposés,
  • Acquérir progressivement la capacité de répondre aux exigences complètes de la certification SecNumCloud,
  • Rassurer les clients, en étant évalués par un organisme tiers indépendant et au niveau d’expertise reconnu dans le domaine de la sécurité de l’information.

Atouts du LNE

Le LNE accompagne depuis de nombreuses années les fournisseurs de service cloud, les industriels, les sociétés de services, les institutions, les opérateurs d'importance vitale dans leur démarche de certification et de qualification dans les domaines de la sécurité de l'information (PDIS, SecNumCloud, PRIS, PVIS, PAMS, 27001, HDS, 27701, 27017, 27018, CISPE, etc.).

Le LNE réalise également des assistances techniques et réglementaires pour former vos équipes au référentiel SecNumCloud et au processus de qualification.

Pour aller plus loin

Zoom sur le référentiel SecNumCloud

En mars 2022 l'ANSSI a fait évoluer le référentiel d'exigences des prestataires de services Cloud. La publication de cette nouvelle version 3.2 de SecNumCloud vise à répondre au mieux aux enjeux de notre temps et s'inscrit dans le cadre de la stratégie nationale pour un Cloud de confiance.

Extrait de la webconférence - SecNumCloud : Cloud de confiance, les évolutions du référentiel 3.2

Visionnez notre webconférence pour mieux comprendre le processus de qualification, découvrez le référentiel SecNumCloud, les évolutions de la version 3.2 et des impacts sur les évaluations, et enfin bénéficiez d'un retour d'expérience de sociétés qualifiées SecNumCloud.

Voir la webconférence complète

Re-écoutez notre webinar

Qualification SecNumCloud : relevez les challenges du référentiel ANSSI

Image
Illustration SecNumCloud
Webinar du 5 octobre 2018

Principaux points abordés :

  • Les points clés du référentiel de certification
  • Les principales étapes du processus de certification afin d’optimiser votre stratégie de mise en conformité.

Voir le webinar

Nos clients témoignent

Cette évaluation nous a permis d’améliorer notre façon de travailler […], les échanges avec les auditeurs et leurs constats nous ont amenés à une réflexion visant à identifier de meilleures façons d’opérer et à nous adapter. Dans cette phase, la qualité des auditeurs a été cruciale et profitable.

Laurence ALBINET
Directrice de la conformité, des risques et de la gouvernance - 3DS Outscale

A consulter aussi...