Appel à commentaires pour la v3.2a de SecNumCloud

Ce 15 octobre 2021, l’ANSSI a mis en ligne une nouvelle version (3.2a) de SecNumCloud, le « référentiel d’exigences applicables aux prestataires d’informatique en nuage ». L’agence en profite pour lancer un appel public à commentaires sur cette v3.2a, ouvert jusqu’au 15 novembre 2021.

Cette mise à jour fait suite à la version 3.1, sortie en 2018 et qui rendait SecNumCloud compatible avec le RGPD. Elle s’inscrit dans la « stratégie nationale pour le Cloud » annoncée mi-mai 2021 par le gouvernement et dans l’élaboration du schéma de certification européen des prestataires de cloud. La France plaide d’ailleurs pour une équivalence du niveau « élevé » de sécurité européen avec SecNumCloud.

Le principal apport de cette version 3.2a est « l’explicitation des critères d’immunité aux lois extracommunautaires » : la certification SecNumCloud impose désormais une localisation européenne du siège du prestataire cloud, et un nombre de voix au conseil d’administration limité pour les entités hors-UE.

Cette nouvelle version empêchera que des dispositions extraterritoriales, comme le Cloud Act américain ou un éventuel équivalent chinois, puissent permettre à des entités étrangères d’accéder aux données stockées.

« Pour des services et des données critiques, il est impératif que seul le droit européen s’applique. Si on n’est pas capable de faire ça, c’est complètement inutile de vouloir parler de souveraineté européenne », commente Guillaume Poupard, Directeur général de l’ANSSI.