Tout d’abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, …), mais de la compléter :

En précisant les mesures de sécurité existantes dans la 27002 et en distinguant l’application de cette mesure soit :

• vers le fournisseur Cloud
• vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
• vers les 2 parties

En ajoutant des mesures de sécurité manquantes de la 27002 comme :

• la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
• la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
• la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces…)

Si la norme ISO/IEC 27017 n’est pas beaucoup plus technique que les autres normes de la série 2700x, elle couvre bien l’ensemble des problématiques de sécurité.

En réponse d’une part à la croissance exponentielle de l’adoption du cloud en France, mais également du nombre de cyberattaques subies par tout organisme privé ou régalien, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à crée le visa de sécurité « SecNumCloud », qui intègre des éléments de certification des normes ISO/IEC 27001, 27002, 27005, 27017 et 27018 en plus d’exigences fonctionnelles et opérationnelles liées à la sécurité des systèmes d‘information.

Souveraineté européenne des services cloud : L’argument phare du référentiel

SecNumCloud, depuis sa dernière mise à jour 3.2 déployée en mars 2022, interdit le recours à des services de collecte, traitement et stockage de données non-européens. L’intérêt est de garantir la seule application des lois européennes, ce qui exclue des textes tels que le Patriot Act ou le Cloud Act américain.

Une qualification de service et non d’organisme

SecNumCloud s’applique à l’échelle des services délivrés. Concrètement, une entreprise proposant des services PaaS et SaaS pourra faire qualifier par exemple uniquement son offre SaaS. Bien évidemment, l’ensemble des briques technologiques exploitées, qu’elles soient logicielles, physiques ou virtuelles, devront être conformes aux exigences de sécurité.

Une certification valorisante mais exigeante

Obtention de la certification SecNumCloud est un processus rigoureux qui exige des candidats une implication importante et une expertise approfondie en matière de cybersécurité. Le référentiel de sécurité comprend plus de 200 exigences couvrant tous les aspects de la sécurité du cloud, depuis la sécurité des infrastructures jusqu’à la gestion des incidents. En voici quelques-unes :

• Cloisonnement et surveillance des flux entre prestataire et client​

Chapitre « 13.2. Cloisonnement des réseaux » «Chapitre 12.14. Surveillance des flux sortants de l’infrastructure »​

• Distinction et protection des interfaces d’administration utilisées par le prestataire et celles mises à disposition des clients​

Chapitre « 9.6. Accès aux interfaces d’administration »​

• Séparation des équipements d’administration des équipements de travail​

Chapitre « 12.12. Administration »​

• Gestion consciente des privilèges d’admin​

Chapitres « 7.1. Sélection des candidats » « 7.2. Conditions d’embauche »​

• Souveraineté européenne: Stockage et sauvegarde des données

Chapitres « 15.2. Sauvegarde des informations » « 19.2. Localisation des données »​

Les candidats à la certification SecNumCloud doivent subir un audit approfondi mené par des auditeurs accrédités par l’ANSSI. Cet audit permet de vérifier la conformité du service cloud aux exigences du référentiel et d’identifier les éventuels points d’amélioration.

Malgré la complexité du processus de certification, SecNumCloud représente un atout majeur pour les entreprises et les organisations françaises. Seuls une poignée d’entreprises françaises ont réussi à faire qualifier certains de leurs services.

La question de la souveraineté numérique fait couler beaucoup d’encre au sein de l’Union Européenne et de fait, amène des propositions techniques, économiques et juridiques en faveur de cette philosophie qui a pour objectif de prémunir le marché européen du cloud computing contre les politiques protectionnistes principalement américaines et chinoises.

L’objectif d’EUCS, projet porté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), est d’établir un cadre de certification harmonisé pour les services cloud en Europe, afin de garantir un niveau de sécurité et de protection des données homogène dans l’ensemble des États membres. EUCS à pour ambition de proposer 4 niveaux de conformité :

• Niveau basique
• Niveau substantiel
• Niveau élevé
• Niveau élevé+

Les inquiétudes des États membres

EUCS, à l’instar de SecNumCloud, se caractérise par sa volonté de renforcer la souveraienté des données collectées, traitées et stockées européennes. Concrètement, le plus haut niveau du schéma interdirait tout lien avec tout service numérique cloud proposé par tout acteur non-européen. L’objectif étant de s’affranchir des lois extra-territoriales dont les principes peuvent porter atteinte à la confidentialité et la sécurité des données concernées.

Bien que certains pays tels que la France, l’Italie ou l’Espagne soient pour un durcissement des politiques orienté vers la souveraineté numérique européenne, le projet EUCS suscite des inquiétudes chez certains États membres, notamment les Pays-Bas, la Pologne ou encore l’Irlande. La principale critique porte les dangers d’une politique protectionniste qui pourrait entacher les relations entretenues avec des acteurs étatiques non-européens et réclament de fait « plus de souplesse ». Le projet EUCS, en plus d’avoir pour ambition de répondre à des enjeux de cybersécurité, soulève  avant tout des enjeux politiques, juridiques et économiques.

La France se place quant à elle en faveur du principe de souveraineté numérique des données les plus sensibles. Cette volonté se manifeste notamment par une prise de position publique du CIGREF, regroupant les DSI des grandes entreprises françaises, qui dénonce la direction que prend le projet EUCS depuis sa dernière version notamment à travers un courrier mettant en avant la mise en danger des ambitions « d’autonomie stratégique et technologique de l’Union européenne ». Se placent dans nos rangs de grandes groupes français tels qu’Orange, OVHCloud ou encore Airbus, mais également l’Allemagne, à travers sa plus grande société allemande et européenne de télécommunications, Deutsche Telekom.

Vers un remaniement du texte ?

Face aux critiques des États membres, l’ENISA a ouvert une consultation publique afin de recueillir les avis des parties prenantes. Il est probable que le texte d’EUCS fasse l’objet d’un remaniement pour tenir compte des préoccupations exprimées, notamment au niveau des mesures d’ordre juridique. Le principe d’extraterritorialité pourrait être abordé d’une manière différente, de sorte à apporter plus de souplesse et de marge de manœuvre, au détriment cependant de son caractère strict. Les mesures techniques et fonctionnelles ne sont quant à elle pas remises en question.