L'ANSSI soutient un clone de SecNumCloud pour l'Europe

Analyse technique

Comparaison des référentiels SecNumCloud et EUCS

SecNumCloud est la référence française pour l'évaluation des offres cloud sensibles, définie et opérée par l'ANSSI ^³. Le cadre impose des exigences strictes sur la gouvernance, la gestion des identités, la surveillance, la résilience et la protection des données. EUCS a été pensé pour harmoniser une approche européenne, avec une taxonomie des niveaux d'assurance et des profils de service qui permettent une comparaison entre offres au-delà des frontières nationales ^².

Les deux référentiels convergent sur plusieurs fondamentaux : séparation multi-tenant, chiffrement des données en repos et en transit, gestion sécurisée des clés, traçabilité des accès, et procédures de réponse aux incidents. Les différences tiennent principalement à la granularité et aux modalités d'évaluation. EUCS est structuré autour d'un modèle d'impact et de niveaux d'assurance qui peuvent conduire à des exigences très ciblées sur certains composants, tandis que SecNumCloud intègre des contraintes nationales plus explicites liées à la souveraineté et au périmètre des marchés publics ^³. Les modalités d'évaluation varient aussi : audits tiers et contrôles documentaires pour l'un, combinaisons d'audits, tests techniques et mécanismes d'évaluation continue pour l'autre ^².

La conséquence opérationnelle est simple : une offre souhaitant être compétitive en Europe devra concevoir sa conformité de façon modulaire. Un socle commun couvrira la plupart des contrôles, mais des « profils » ou des options spécifiques resteront nécessaires pour atteindre des niveaux élevés d'assurance ou satisfaire des exigences locales ^¹.

Vecteurs d'attaque typiques ciblant les environnements certifiés

La certification réduit la surface d'erreur, elle n'annule pas le risque. Les incidents majeurs montrent que la faille survient souvent sur des composants non prévus par la certification initiale. Log4Shell (CVE-2021-44228) a affecté des services certifiés comme non certifiés et a mis en lumière la dépendance aux bibliothèques logicielles. La différence réside dans la capacité d'identification et de remédiation rapide ^⁴.

Voici les vecteurs que je rencontre le plus souvent sur des environnements prétendument durcis :

Compromission d'identité et d'API : tokens exposés, clés mal gérées et permissions trop larges ouvrent la voie au mouvement latéral.
Erreurs de configuration IAM et stockage objet : buckets mal configurés, règles réseau permissives, usages de comptes « partagés ».
Chaîne d'approvisionnement logicielle : composants tiers non patchés, builds non vérifiés, absence de SBOM.
Vulnérabilités d'infrastructure critique : hyperviseurs, firmware ou composants de virtualisation exposés.
Réponse aux incidents insuffisante : absence de télémétrie pertinente, journaux incomplets ou non immuables.

Certifier une offre sans adresser ces vecteurs revient à colmater des défauts visibles sans traiter les racines sous-jacentes.

Mécanismes d'évaluation et validation

Pour qu'une certification cloud soit crédible en production, il faut une palette d'évaluations complémentaires : audits documentaires, investigations sur site, tests d'intrusion réguliers, revue de code critique, et vérification de la chaîne de build. L'évaluation continue est indispensable dans un modèle DevSecOps : instrumentation, collecte de télémétrie, attestations matérielles et logiciels, et vérifications automatisées des configurations.

L'expérience SecNumCloud montre que les audits ponctuels doivent être articulés avec des contrôles techniques automatisés et des preuves immuables. EUCS devra s'adapter à ces pratiques opérationnelles pour rester pertinent face à la réalité des pipelines CI/CD et des cycles rapides de déploiement ^³ ^².

Exigences techniques critiques à intégrer

Certaines mesures ne sont plus optionnelles pour un fournisseur cloud visant des niveaux élevés d'assurance :

Gestion centralisée des secrets et rotation automatique des clés avec piste d'audit complète.
Isolation stricte des tenants au niveau réseau et hyperviseur, tests d'évasion automatisés et red-teaming périodique.
Processus de patching orchestré avec SLA définis pour les vulnérabilités critiques (fenêtre de 7-30 jours selon criticité) et inventaire en temps réel des composants.
Journaux d'accès immuables, horodatés et exportables vers des entités d'évaluation indépendantes.
Protection des API publiques : WAF adapté, authentification forte et limitation du blast radius via segmentation et throttling.

Ces exigences doivent être vérifiables par des outils automatisés, des attestations cryptographiques et des preuves techniques exportables ^² ^³.

Impacts business

Conséquences pour les fournisseurs cloud

La mise en place d'un schéma européen comparable à SecNumCloud implique des coûts initiaux non négligeables. Attendez-vous à des dépenses liées aux audits, à la mise à niveau des architectures, à la création d'équipes de conformité dédiées et à la séparation d'offres pour des profils d'assurance élevés. Pour les fournisseurs déjà certifiés en France, il peut exister des synergies et des économies si la reconnaissance mutuelle fonctionne, mais en l'absence d'accord, la duplication des efforts restera coûteuse ^¹.

Au-delà du coût, il y a un enjeu commercial : certains clients, notamment le secteur public et les entreprises critiques, exigeront ces certificats comme condition d'accès aux marchés.

Effets sur les clients (entreprises utilisatrices)

Les clients gagneront une base d'évaluation harmonisée facilitant les comparaisons et la preuve de conformité. En pratique, cela se traduit par un choix plus clair entre offres alignées sur différents niveaux d'assurance. En contrepartie, attendez-vous à des coûts unitaires plus élevés pour des services certifiés et à des contraintes contractuelles supplémentaires (SLA, droits d'audit, obligations de notification).

Sur le long terme, la réduction du risque opérationnel et une meilleure gestion des incidents compenseront souvent ces surcoûts.

Estimation des coûts liés aux incidents dans le cloud

Les incidents peuvent générer des coûts directs (remédiation, forensic, pénalités) et indirects (perte de réputation, churn client). Log4Shell a provoqué des dépenses de réponse et de patch massives pour de nombreuses organisations ^⁴. Une norme européenne robuste peut réduire l'impact moyen d'un incident via des exigences de préparation et de réaction, mais elle ne supprime pas la nécessité d'investir en capacité opérationnelle et en résilience.

Risques réglementaires et contractuels

La certification va devenir un critère déterminant dans les marchés publics et les audits liés au RGPD. Un fournisseur non certifié risque d'être exclu de segments critiques. La reconnaissance mutuelle entre schémas nationaux et européens est donc un enjeu stratégique pour éviter la fragmentation et les coûts redondants ^¹ ^².

Recommandations

Pour les fournisseurs cloud

Cartographiez tous vos composants logiciels et matériels et publiez un SBOM par offre.
Mettez en place une organisation de patching mesurable, avec des SLA internes liés au niveau d'impact.
Déployez des contrôles d'isolement multi-tenant testés automatiquement et organisez des exercices de red-teaming pour valider la robustesse.
Intégrez la conformité continue : collecte centralisée de logs, attestations périodiques et interfaces d'export pour évaluateurs tiers.
Proposez des variantes d'offre certifiables pour les profils EUCS élevés afin d'éviter d'imposer des contraintes coûteuses à l'ensemble des clients.

Pour les clients et donneurs d'ordre

Exigez des preuves de conformité dans vos appels d'offres : rapports d'audit, périmètre certifié et niveaux d'assurance affichés.
Insérez des obligations claires sur la gestion des vulnérabilités, les délais de notification d'incidents et les droits d'audit.
Formalisez la responsabilité partagée par une matrice claire des responsabilités opérationnelles et de sécurité.
Demandez systématiquement un SBOM et des engagements sur la mise à jour logicielle des composants critiques.

Pour les autorités et organismes de certification

Favorisez la reconnaissance mutuelle et l'interopérabilité des schémas pour éviter la fragmentation du marché ^¹ ^².
Produisez des playbooks techniques standardisés pour l'évaluation des incidents et encouragez l'automatisation des preuves d'audit.
Accréditer des laboratoires d'évaluation européens pour homogénéiser les pratiques et maîtriser les coûts.

La mise en oeuvre d'un schéma européen calqué sur SecNumCloud représente une opportunité pour améliorer la sécurité collective. Les choix d'architecture et d'organisation effectués maintenant détermineront la résilience opérationnelle et la compétitivité des acteurs cloud dans les années à venir ^¹ ^³.

Questions fréquentes

Qu'est-ce que SecNumCloud et pourquoi l'ANSSI en parle au niveau européen ?

SecNumCloud est la certification française destinée aux offres cloud sensibles, définie et gérée par l'ANSSI pour fournir un cadre vérifiable aux clients critiques. L'ANSSI évoque l'idée d'un modèle similaire à l'échelle européenne parce que la Commission et ENISA travaillent sur EUCS, qui vise à harmoniser l'évaluation des services cloud entre États membres ³ ¹.

En quoi EUCS diffère-t-il techniquement d'une certification nationale comme SecNumCloud ?

EUCS propose une taxonomie européenne des niveaux d'assurance et des profils de service pour permettre l'interopérabilité entre États membres. Les certifications nationales peuvent porter des exigences locales sur la souveraineté et les marchés publics, tandis qu'EUCS vise des procédures communes et des niveaux d'impact standardisés ² ³.

Une certification empêche-t-elle toute compromission via une vulnérabilité comme Log4Shell ?

Non. Une certification améliore l'état de sécurité et la gestion des risques, mais ne rend pas invulnérable. Log4Shell a affecté des services certifiés et non certifiés; la valeur ajoutée d'une certification se mesure à la rapidité de détection, de patching et à la robustesse des mécanismes d'isolement ⁴.

Quels sont les coûts pour un fournisseur souhaitant obtenir une certification EUCS/SecNumCloud ?

Les coûts comprennent audits, remédiations techniques, adaptations procédurales, investissements d'ingénierie (isolation, gestion des clés, SBOM) et frais d'évaluation. Le montant varie fortement selon l'offre; pour des acteurs majeurs, il s'agit souvent d'investissements significatifs à l'entrée, puis de coûts annuels d'entretien ¹ ³.

Comment les entreprises clientes doivent-elles adapter leur stratégie cloud face à ces évolutions ?

Elles doivent intégrer la certification comme critère de sélection pour les services sensibles, exiger des garanties contractuelles (SLA, temps de patch), clarifier la responsabilité partagée avec une matrice RACI, et demander des SBOMs pour réduire le risque lié à la chaîne d'approvisionnement.