1. Contexte

L’informatique en nuage – le « cloud » – connaît un développement exponentiel depuis quelques années. Concomitamment, les cyberattaques, demandes de rançons et autres fuites de données ne cessent de se multiplier.

Dans ce contexte, la sécurité des prestataires de services cloud est devenue un enjeu capital. C’est pourquoi l’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information, a élaboré en 2016 le référentiel « SecNumCloud », dont la dernière version 3.2 a été publiée en mars 2022.

Ce référentiel pose les critères de sécurité et de confiance à remplir pour un prestataire souhaitant attester de la qualité et de la robustesse de ses services, et se voir attribuer le label « SecNumCloud. »

2. Les exigences « technico-juridiques » du référentiel

Tous les services de cloud peuvent prétendre à la qualification « SecNumCloud » – SaaS (Software as a Service), PaaS (Platform as a Service) IaaS (Infrastructure as a Service) et CaaS (Container as a Service) – dès lors que certaines exigences techniques, organisationnelles et juridiques sont remplies.

Les premières concernent notamment la politique de sécurité de l’information et la gestion du risque du prestataire, la sécurité de ses ressources humaines ou l’existence et la mise en œuvre de techniques de chiffrement de ses données.

Mais ce sont surtout les exigences juridiques qui font la particularité de la version 3.2 du référentiel. Ces exigences sont directement tirées des conclusions de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne.

Ce...