Les prestataires de confiance
Dans sa mission de promotion et de garantie de la confiance numérique et de la sécurité de l’information, l’ANSSI a mis en place le Référentiel Général de Sécurité (RGS) ainsi qu’un ensemble de référentiels encadrant les produits et services dits de confiance. Pour ce qui est des prestataires de services, ces référentiels couvrent notamment :
Les prestataires de services de cyberdéfense :
- Prestataires d’audit de la sécurité des systèmes d’information (PASSI)
- Prestataires de détection des incidents de sécurité (PDIS)
- Prestataires de réponse aux incidents de sécurité (PRIS)
- Prestataires de services d’informatique en nuage (SecNumCloud).
- Et bientôt (pour le moment en phases expérimentales) :
- Prestataires d’administration et de maintenance sécurisées (PAMS)
- Prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS)
Les prestataires de services relatifs à la confiance numérique :
- Prestataires de certification électronique (PSCE)
- Prestataires de services d’horodatage électronique (PSHE)
- Prestataires de services de validation de signatures et cachets électroniques
- Prestataires de services de conservation de signatures et cachets électroniques,
- Prestataires de services d’envoi de recommandés électroniques
Pour un prestataire de services ou un Fournisseur de Services Numériques (FSN), se lancer dans la qualification par rapport à l’un ou plusieurs de ces référentiels exigeants dénote d’une forte volonté de démontrer à ses marchés, ses clients en France et en Europe, la qualité de son offre et la compétence de ses équipes dans la fourniture d’un service sécurisé et de confiance.
Le référentiel SecNumCloud
Historique du référentiel
SecNumCloud a été présenté sous sa première version officielle en 2016, et a connu une révision en 2018 pour aboutir à sa version 3.1 actuellement utilisée. Cette qualification est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information, mais ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud.
Que signifie la qualification pour un prestataire ?
La qualification est la recommandation par l’État français de prestations de services éprouvées et approuvées par l’ANSSI. La qualification d’un prestataire de services atteste de sa conformité aux exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle juge de la compétence d’un prestataire de services sur le long terme et permet de démontrer son aptitude à identifier et maîtriser les menaces et risques pour satisfaire les exigences inscrites dans des référentiels métiers.
Qu’apporte la qualification ?
La qualification apporte aux consommateurs de services qualifiés l’assurance de choisir des solutions dont le niveau de sécurité et de confiance ont été vérifiés. C’est la garantie de recourir à des solutions recommandées par l’État et utilisées par l’administration française, les opérateurs d’importance vitale (OIV), les Opérateurs de Services Essentiels (OSE) et les entreprises des secteurs les plus sensibles.
Quant aux prestataires qualifiés, elle leur apporte la capacité de prétendre à des marchés français et européens réglementés, en ce sens l’effort de qualification devient un avantage concurrentiel vis-à-vis des exigences de sécurité.
La qualification SecNumCloud
La qualification SecNumCloud est un processus long et exigeant nécessitant des efforts très importants sur les plans financiers et humains pour relever les défis techniques de mise en conformité avec les exigences du référentiel. Le processus en lui-même est strictement encadré par l’ANSSI.
Le processus se décompose en jalons :
- J0 : Acceptation de la demande de qualification suite à soumission d’un dossier conforme
- J1 : Acceptation de la stratégie d’évaluation et choix d’un centre d’évaluation accrédité COFRAC
- J2 : Acceptation des travaux d’évaluation et donc du rapport du centre d’évaluation par l’ANSSI
- J3 : Décision de qualification (prononcée avec ou sans réserve à la lumière du niveau de conformité rapporté)
Quel marché pour SecNumCloud ?
Le marché du cloud de confiance représenterait plus de 250 millions d’euros en 2019. De plus, les annonces du gouvernement du 17 mai 2021 ne peuvent que renforcer la taille de ce marché dans les années à venir.
Aujourd’hui, il apparaît que :
- L’utilisation du cloud de confiance devient la priorité de l’État
- Les services qualifiés SecNumCloud seront obligatoires pour les administrations et collectivités souhaitant héberger leurs activités ailleurs que dans le cloud fourni par l’État
- Les services qualifiés SecNumCloud seront les services privilégiés par les OIV, les OSE et plus généralement les acteurs soumis à la directive européenne NIS du fait des prérequis exigés par ces règlements, qui sont déjà remplis par la conformité exigeante de SecNumCloud
- Les entreprises manipulant des données très sensibles (stratégiques, de santé, etc.) désireuses d’avoir leurs opérations hébergées en confiance d’un point de vue sécurité et d’un point de vue souveraineté (notamment vis-à-vis de la protection contre des lois extraterritoriales)