L’informatique en nuage – le « cloud » – connaît un développement exponentiel depuis quelques années. Concomitamment, les cyberattaques, demandes de rançons et autres fuites de données ne cessent de se multiplier.
Dans ce contexte, la sécurité des prestataires de services cloud est devenue un enjeu capital. C’est pourquoi l’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information, a élaboré en 2016 le référentiel « SecNumCloud », dont la dernière version 3.2 a été publiée en mars 2022.
Ce référentiel pose les critères de sécurité et de confiance à remplir pour un prestataire souhaitant attester de la qualité et de la robustesse de ses services, et se voir attribuer le label « SecNumCloud ».
Les exigences « technico–juridiques » du référentiel
Tous les services de cloud peuvent prétendre à la qualification « SecNumCloud » – SaaS (Software as a Service), PaaS (Platform as a Service) IaaS (Infrastructure as a Service) et CaaS (Container as a Service) – dès lors que certaines exigences techniques, organisationnelles et juridiques sont remplies.
Les premières concernent notamment la politique de sécurité de l’information et la gestion du risque du prestataire, la sécurité de ses ressources humaines ou l’existence et la mise en œuvre de techniques de chiffrement de ses données.
Mais ce sont surtout les exigences juridiques qui font la particularité de la version 3.2 du référentiel. Ces exigences directement tirées des conclusions de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne.
Cette décision, qui a conclu à l’invalidation du Privacy Shield, avait également rappelé la nécessité de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) lorsque des données personnelles de citoyens européens sont transférées dans un pays hors de l’Union européenne (UE). Plus particulièrement, dans une section intitulée « Protection vis-à-vis du droit extra européen », le référentiel précise que pour être certifié, le siège social du prestataire doit être établi dans un État membre de l'UE, et qu’une attention particulière doit être apportée à son indépendance à l’égard des ingérences étrangères. Il ajoute que les actionnaires de l'entreprise doivent respecter certaines règles, afin d'éviter que les sociétés situées en dehors de l'UE ne disposent de trop de voix extra-européennes au conseil d'administration.
Ainsi, « SecNumCloud » garantit que le prestataire certifié est soumis à des lois européennes – limitant par là-même le risque d’un accès étranger incompatible avec le RGPD aux données personnelles qu’il traite. En d’autres termes, comme Marie-Laure Denis (présidente de la CNIL) le souligne : le référentiel « fournit une réponse qui est conforme ‘by design’ aux exigences de la Cour en matière de protection des données dans le cloud ».
Le recours à un prestataire labellisé SecNumCloud bientôt obligatoire ?
La réponse uniforme que représente SecNumCoud aux exigences françaises et européennes pourrait faire de cette certification un label obligatoire pour l’offre de services cloud en France.
En effet, lundi 12 septembre 2022, le ministre français de l’Économie Bruno Le Maire déclarait, lors de l’inauguration du data center d’OVH à Strasbourg : « je ne peux pas exclure que, à un moment ou à un autre, nous en venions à une norme obligatoire ».
Cette annonce intervient dans le contexte de la doctrine « Cloud au Centre » du Gouvernement, dont SecNumCloud est l’un des piliers, et témoigne de l’importance que prend ce label dans l’écosystème français.
Un programme de certification européen
En parallèle, la révision de la directive sur la sécurité des réseaux et des systèmes d'information au sein de l’UE a ouvert la voie à la mise en place d'un programme de certification européen relatif aux prestataires de cloud.
La France, à travers l’action portée par l’ANSSI, participe activement à l’élaboration de l’European Cybersecurity Certification Scheme for Cloud Services (EUCS) et plaide pour une équivalence de cette certification européenne avec SecNumCloud.
A terme, il est donc probable que ce soit la version européenne de « SecNumCloud » qui devienne le référentiel incontournable pour les prestataires de cloud – ce qui ne devrait bouleverser ceux d’entre eux déjà labellisés, puisqu’il y a fort à parier que le contenu de l’EUCS s’inspire largement de la version française.
Article paru dans Option Finance le 24/10/2022
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.