Le référentiel qualifiant les fournisseurs de service cloud passe en version 3.2. Cette évolution, annoncée depuis quelques temps déjà par l’ANSSI, ajoute notamment des critères sur la protection contre les législations « extra-européennes » et s’aligne sur le futur schéma de certification européen.
La mise à jour de SecNumCloud est sur les rails depuis maintenant plusieurs mois et on en connaissait plus ou moins le contenu. Il était ainsi question d’enrichir le référentiel né en 2016 d’éléments relatifs à la protection contre les lois non européennes. Le document mis hier en ligne par l’ANSSI ne comprenait donc guère de surprises.
« Grâce à la forte mobilisation de la communauté, qui a partagé plus de 450 observations venant du monde entier sur le référentiel lors de l’appel public à commentaires, l’ANSSI publie aujourd’hui la version 3.2 du référentiel d’exigences applicables aux prestataires de services cloud » explique l’agence. Le 3.2 s’inscrit dans la jurisprudence européenne récente, notamment l’invalidation du Privacy Shield.
Garanties contre les lois "extra-européennes"
C’est pourquoi SecNumCloud 3.2 exigent des fournisseurs de services cloud qui demandent la qualification qu’ils présentent des garanties que ses solutions et les données qu’il traite ne peuvent être soumis à des lois extra-européennes. Entendre par là aux différents paquets législatifs et réglementaires américains (FISA et Cloud Act).
Le référentiel remanié comprend en outre une exigence quant à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification. Enfin, cette nouvelle version s’aligne sur le très attendu EUCS, le schéma de certification européen relatif aux prestataires de cloud.
Cloud de confiance
« Afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques, l’identification des services cloud de confiance est indispensable. La qualification SecNumCloud contribue à répondre à ce besoin en attestant d’un très haut niveau d’exigence en matière de sécurité numérique, tant du point de vue technique qu’opérationnel ou juridique » précise Guillaume Poupard, directeur général de l’ANSSI.
A noter que les solutions déjà qualifiées SecNumCloud conservent leur Visa de sécurité, « l’ANSSI accompagnera si nécessaire les entreprises concernées pour assurer la transition ».