La trame d’évaluation SecNumCloud (SNC), un outil pour mieux se préparer à la qualification
SecNumCloud, l’un des référentiels de sécurité les plus exigeants en Europe
Le référentiel comporte également des exigences supplémentaires, qui portent notamment sur la gestion du contrat avec le commanditaire (futur client, amené à utiliser ces services cloud pour l’hébergement de données sensibles) et sur l’extraterritorialité.
La version 3.2 du référentiel SecNumCloud, publiée en 2022, a effectivement renforcé les exigences relatives à l’extraterritorialité des données. Cette version comporte un volet juridique majeur sur la constitution de l’entreprise et son actionnariat. L’objectif est de s’assurer que les données du commanditaire ne sortent pas du territoire français (pour les activités d’hébergement, de support, d’administration) ou de l’Espace Économique Européen (EEE).
La trame d’évaluation SecNumCloud
un document technique au cœur du processus de qualification
La trame d’évaluation est un outil opérationnel reprenant une à une les exigences du référentiel SecNumCloud et chacun des contrôles minimaux que le centre d’évaluation doit réaliser pour vérifier la conformité du prestataire au référentiel.
Le contenu de la trame d’évaluation contient les contrôles recommandés par l’ANSSI, mais il est non limitatif. En fonction de sa méthodologie accréditée et des spécificités techniques de l'architecture auditée, le centre d’évaluation applique les vérifications nécessaires pour statuer sur la conformité. L’équipe d’audit dispose ainsi d’un cadre formel strict mais adaptable à l'environnement technologique. Dans le cadre du processus réglementaire, le Responsable d’Évaluation (RE) est chargé de produire un plan d’évaluation, qui est ensuite validé par le chargé de qualification du prestataire nommé au sein de l’ANSSI.
La trame d’évaluation SecNumCloud est un document technique. Une fois renseignée, elle liste les constats et les éventuels écarts par rapport au référentiel d’exigences pour la qualification. Elle est complétée par le centre d’évaluation durant l’audit, puis envoyée vers l’ANSSI pour analyse. Elle contient les résultats d’audit, les constats, les non-conformités éventuelles, et les références des preuves liées aux constats. Un rapport de synthèse est associé à la trame. Il comprend :
- Une synthèse managériale,
- Une synthèse organisationnelle,
- Une synthèse technique.
Le processus de qualification SecNumCloud exige de la part du prestataire cloud une forte capacité de réponse documentaire et technique aux différentes exigences.
Ces éléments sont ensuite étudiés par l’ANSSI, qui prend la décision de qualification sur la base de l’ensemble de ces éléments, en fonction de plusieurs critères.
Pourquoi l’ANSSI a-t-elle publié la trame d’évaluation SecnumCloud ?
Permettre aux candidats de mieux se préparer à la qualification
Pour un prestataire de services cloud, obtenir la qualification SecNumCloud pour l’une de ses offres implique de présenter son projet à l’ANSSI. Le processus de qualification de services prévoit 4 jalons, le premier d’entre eux correspondant à l’acceptation de la demande par l’Agence (jalon 0).
Avant que l’ANSSI ne décide de rendre publique la trame d’évaluation SecNumCloud, les candidats à la qualification ne pouvaient accéder à ce document qu’après avoir franchi le J0. Ils pouvaient être surpris par la profondeur des contrôles exigés par l’ANSSI. La trame d’évaluation étant désormais publique, les candidats connaissent les contrôles minimaux exigés par l’Agence, notamment ceux figurant dans l’onglet « Guide d’hygiène informatique ». Les contrôles minimaux de cet onglet sont désormais imposés aux candidats depuis la publication de la trame.
En ayant accès à la trame d’évaluation avant même d’entrer dans le processus de qualification, les candidats disposent d’une base pour s’auto-évaluer. Ils peuvent « mûrir » plus longuement leur réflexion, avant de déposer une demande de candidature auprès de l’ANSSI. Les dossiers étudiés par l’ANSSI sont ainsi, en théorie, de meilleure qualité.
Aligner SecNumCloud avec les autres référentiels de l’ANSSI
La publication de la trame d’évaluation SecNumCloud par l’ANSSI relève également d’un souci de transparence et de cohérence. L’Agence rendait déjà publiques les trames d’évaluation de plusieurs autres programmes de qualification (PACS, PASSI, PRIS, par exemple). Une manière d’uniformiser ses pratiques.
Cette évolution introduit également davantage d’équité entre tous les centres d’évaluation travaillant sur la qualification SecNumCloud de l’ANSSI. LSTI utilisait auparavant sa propre trame d’évaluation, validée par l’ANSSI. L’entreprise utilise désormais celle de l’ANSSI, avec un investissement en temps d’audit plus conséquent pour réaliser les contrôles. Les objectifs d’une telle démarche restent inchangés pour l’ANSSI : accompagner les prestataires de services cloud dans leur montée en maturité et le renforcement de leur sécurité.
La qualification SecNumCloud
une réponse concrète aux enjeux de souveraineté des données
Le décret nᵒ 2026-272 du 14 avril 2026 (application de l’article 31 de la loi SREN) rend opposable l'obligation, pour l'État, de recourir à des solutions qualifiées SecNumCloud par l’ANSSI pour l'hébergement de certaines données sensibles.
La réforme de la facturation électronique illustre également le rôle croissant tenu par la qualification SecNumCloud. Les « Plateformes de Dématérialisation Partenaires » (PDP), désormais appelées « Plateformes Agréées » (PA) faisant appel à un prestataire d’hébergement cloud sont, par exemple, tenues de choisir une offre qualifiée SecNumCloud.
Pour les prestataires de services cloud, la qualification SecNumCloud tend donc à devenir un standard, et même un axe de différenciation concurrentiel. Elle peut également être complétée par des exigences issues d’arrêtés sectoriels ou de réglementations spécifiques. C’est par exemple le cas avec la certification HDS (Hébergeurs de Données de Santé).
Découvrez nos actualités