Sécurité : L’Anssi avait présenté en 2016 son référentiel SecNumCloud, une qualification destinée aux prestataires de services cloud qui souhaitent aborder le marché des OIV. Nous avons eu l’occasion d’en parler avec Oodrive et Outscale, les deux premières sociétés qualifiées.

Les premières entreprises s’étant lancées dans le processus de qualification SecNumCloud ont commencé à être annoncées au début de l’année 2019 : c’est tout d’abord Oodrive, qui a pu se targuer en janvier 2019 d’être le premier éditeur à voir trois de ses solutions SaaS qualifiées, puis 3DS Outscale, filiale de Dassault Systèmes, qui a vu son offre IaaS qualifiée au mois de décembre 2019.

Référentiel tentaculaire

Et pour les deux, le chemin a été long : « le processus a été initié en 2013, bien avant que j’arrive dans l’entreprise, avec un premier groupe de travail sur l’élaboration du référentiel auquel participait Oodrive », explique François Xavier Vincent, CISO et DPO Oodrive. Le coup d’envoi du référentiel est donné en 2016, et Oodrive entame alors ses premières procédures d’audit. Une qualification qu’elle n’obtiendra finalement qu’en janvier 2019 : si les premiers venus ont très certainement essuyé les plâtres de cette première version du référentiel, le processus d’audit et de mise en conformité n’a rien d’une promenade de santé.

« Quand on regarde le référentiel, on peut se dire que c’est assez simple au premier abord. Mais les nombreuses annexes qu’il mentionne contiennent également des dispositions contraignantes et rapidement, on se rend compte de l’aspect tentaculaire de la chose », ajoute François Xavier Vincent. Un sentiment également partagé par Edouard Camouin, RSSI pour 3DS Outscale : « au premier abord, on avait l’impression d’être dans les clous, à environ 80 %. Puis quand on a commencé à regarder dans le détail, on s’est rendu compte qu’on en était loin du compte ».

Secnumcloud : à quoi ça sert ?

Secnumcloud permet aux entreprises de s’ouvrir le marché des Opérateurs d’Importance Vitale, cette catégorie d’acteurs étroitement surveillés par l’Anssi et sommés de s’équiper de solutions approuvées par l’Etat. Mais au-delà de ce seul marché, la qualification de l’Anssi est un moyen de se distinguer : « on est plein à vendre des services cloud et à affirmer qu’on est bons. Mais là avec la qualification, on a l’Anssi qui valide », explique François Xavier Vincent.

Dans le cas de Oodrive, la qualification concerne plusieurs services clairement identifiés (iExtranet, PostFiles et BoardNox) tandis que dans le cas d’Outscale, la qualification porte sur son offre de Cloud public IaaS. « Evidemment, la qualification tire l’ensemble des offres que l’on propose vers le haut, si on ajoute des portiques de sécurité et des processus de sécurité by design, toutes les offres en bénéficient. » Mais les offres qualifiées Secnumcloud sont facturées plus cher pour prendre en compte les coûts supplémentaires liés à cette mise en conformité : il faut compter en moyenne un prix 30 % supérieur aux offres similaires pour les offres qualifiées Secnumcloud. Un coût qui se justifie selon Edouard Camouin par les dépenses supplémentaires nécessaires : les employés d’astreinte, la mise en place de VPN supplémentaires pour sécuriser les accès, l’utilisation de produits et services également qualifiés et, on imagine, l’amortissement des coûts de mise en conformité. « La qualification, c’est de la redondance et des services en plus ainsi que des investissements, donc ça se traduit sur la facturation finale. »

« Outre le simple bénéfice d’image, Secnumcloud est également un bon moyen de démontrer la conformité du service au RGPD, quelque chose qui nous est fréquemment demandé par des clients », rappelle au passage François Xavier Vincent. Il n’y a pas de service universellement reconnu capable de reconnaître la conformité avec le règlement européen, mais SecNumCloud a été revu en 2018 pour harmoniser ces exigences avec le RGPD et constitue une première pierre visant à prouver que les bonnes pratiques ont été mises en place.

Parcours du cybercombattant

L’obtention de la qualification passe tout d’abord par le dépôt d’un dossier auprès de l’Anssi. Puis commence la phase d’audit avec l’un des prestataires qualifiés par l’agence (les PASSI), chargés de vérifier la conformité du prétendant. Pour ce référentiel, le nombre de points d’audit peut s’élever à 350, « avec à chaque fois deux ou trois preuves à fournir ». Et contrairement à d’autres processus de qualification, l’audit pour Secnumcloud est un audit exhaustif, qui regarde l’ensemble des exigences du référentiel.

Un souci d’exhaustivité qui explique les délais d’obtention de la qualification. Ce n’est en effet pas forcement évident pour des sociétés de taille parfois réduite type Oodrive et 3DS Outscale : « chez 3DS Outscale on avait une culture très agile et très DevOps à l’origine, qu’on ne retrouve pas forcement dans le référentiel SecnumCloud donc on a dû se transformer. Mais il est difficile de faire comprendre aux équipes qu’on doit mettre en place des systèmes de portiques d’accès contrôlé dignes d’entreprises du CAC 40 alors que tout le monde se connaît », résume ainsi Edouard Camouin.

La question de la souveraineté des données est également une des pierres angulaires du référentiel. « Dans le dépôt de dossier, il y a l’engagement que la société n’est pas soumise à une réglementation extra-européenne. On peut imaginer qu’un acteur comme Microsoft aurait un peu de mal à présenter un dossier », note François Xavier Vincent. La menace du Cloud Act, la loi américaine autorisant les juges à saisir les données sur les serveurs appartenant à des sociétés américaines, vient évidemment à l’esprit.

Mais les sociétés trouvent des solutions pour faire face à ce type de cas de figure : dans le cas de 3DS Outscale, l’entité française est entièrement séparée de son équivalent américain. « Nous avons choisi de créer deux entités complètement séparées, une société française et une société américaine, avec deux directions différentes pour chaque société », explique Edouard Camouin. Un choix également retenu par OvhCloud, dont la version française a débuté le processus de qualification SecNumCloud.

Viser plus large

Si la question de la souveraineté est essentielle, la version actuelle de la qualification ne vaut que pour la France et « certains marchés réglementaires en Europe », comme l’explique l’Anssi dans son catalogue regroupant l’ensemble des solutions qualifiées. « Ce qu’on aimerait maintenant, c’est que cette qualification soit reconnue au niveau européen et pas uniquement en France », ajoute Edouard Camouin. Un sujet notamment envisagé dans le cadre du récent Cybersecurity Act, qui met en place un cadre de certification européen visant à harmoniser la reconnaissance des certifications et qualifications parmi les différents pays membres.

Adopté au mois de juin 2019, le règlement pose un premier canevas pour la mise en place des schémas de certifications, encadrés par l’Enisa, l’équivalent européen de l’Anssi. Une première pierre qui ouvre la voie à une future certification européenne qui intégrerait SecNumCloud et pourrait permettre aux sociétés qualifiées de prétendre à un équivalent européen.

Source : https://www.zdnet.fr/amp/actualites/secnumcloud-qu-est-ce-qu-il-ne-faut-pas-faire-pour-plaire-a-l-anssi-39900067.htm

Curabitur vulputate, et, consectetur sit porta. Phasellus Sed id venenatis ipsum neque.