La qualification SecNumCloud 3.2 de l’offre PREMI3NS de S3NS, fin 2025, a déclenché une vague de controverses dans le paysage IT.

Suffisamment pour que Vincent Strubel, le directeur général de l’ANSSI, prenne la plume pour publier une longue tribune sur LinkedIn. Un exercice de déminage pédagogique pour répondre aux  « interrogations voire (aux) incompréhensions sur ce que fait et ne fait pas la qualification SecNumCloud ».

« Ce n’est pas une médaille en chocolat »

Premier rappel du patron de l’agence nationale de cybersécurité : SecNumCloud n’est ni une décision arbitraire, ni un choix politique. La qualification découle d’un processus formalisé d’évaluation sur la base d’exigences strictes. « Les règles, le processus et le niveau d’exigence sont les mêmes pour tous », martèle Vincent Strubel.

La procédure ? Longue et exigeante. Près de 1 200 points de contrôle vérifiés in situ par un évaluateur indépendant, sous le regard scrutateur de l’ANSSI qui « ne se prive pas de demander parfois à l’évaluateur d’approfondir son travail ou de réévaluer de manière plus stricte ses conclusions ». Un référentiel actualisé constamment depuis plus de dix ans. « Bref, ce n’est pas une médaille en chocolat, et ce n’est pas pour tout le monde », résume le directeur.

Se protéger du CLOUD Act… et du « kill switch »

Les risques liés au droit extra-territorial ? C’est le sujet qui monopolise l’attention. Vincent Strubel rappelle l’enjeu : éviter que les données hébergées dans le cloud ne tombent sous le coup du CLOUD Act américain ou de la loi chinoise sur le renseignement de 2017, qui permettent aux autorités d’exiger l’accès aux données de clients européens.

La parade de SecNumCloud : un prestataire européen qui contrôle seul les données. Même si l’offre est « hybride » et repose sur une technologie américaine, « le fournisseur de la technologie cloud est soumis aux lois américaines, mais n’a pas accès aux données et ne peut par conséquent pas donner suite à une injonction », explique le patron de l’ANSSI.

Autre protection : le scénario du « kill switch », cette coupure brutale du service imposée à certains clients. Vincent Strubel cite l’exemple récent de magistrats de la Cour Pénale Internationale privés d’accès aux services numériques américains. Avec SecNumCloud, le sous-traitant non européen « ne dispose pas de la capacité à couper le service à tel ou tel client, car ce n’est pas lui qui administre la solution ».

L’autarcie complète, une illusion

Vincent Strubel le reconnaît sans détour : SecNumCloud ne signifie pas l’absence de dépendance. Une offre « hybride » est « sans doute plus exposée à ce risque, « mais imaginer qu’il existe des offres 100% européennes relève de la pure vue de l’esprit qui ne résiste pas à la confrontation aux faits ».

Tous les fournisseurs de cloud dépendent de composants électroniques et logiciels non maîtrisés à 100% en Europe. L’open source ? « Une plus grande liberté d’action », certes, mais « pas la panacée » : aucun acteur ne peut prétendre maîtriser entièrement toute la stack technologique du cloud.

« Si nous sommes un jour privés de l’accès à la technologie américaine, chinoise, ou plus généralement non européenne, nous aurons un problème global de dégradation du niveau de sécurité », prévient le directeur de l’ANSSI. Un problème qui dépasserait largement les seules offres hybrides.

Les cyberattaques, la vraie menace

Vincent Strubel le martèle : les critères liés à la nationalité du prestataire ne représentent
« qu’une petite partie des exigences » du référentiel. La vraie menace ? Les cyberattaques, qui demeurent « la menace la plus tangible pesant sur les usages sensibles du cloud ».

Les prestataires, « quelle que soit leur nationalité », sont des «cibles à très haute valeur ajoutée » qui « subissent en permanence des tentatives d’attaque, y compris particulièrement avancées, dont certaines réussissent forcément ». Hyperscalers américains comme acteurs européens, personne n’est épargné.

D’où des exigences techniques drastiques : cloisonnement fort entre clients, chaîne d’administration isolée, gestion sécurisée des mises à jour, chiffrement systématique. « Ces exigences ne sont généralement pas toutes satisfaites par une offre de cloud standard, quelle que soit son origine », note le directeur de l’ANSSI.

Le référentiel prend même en compte le risque humain : corruption, contrainte ou infiltration d’employés du prestataire. Un chapitre entier y est consacré.

« Souverain », mais pas baguette magique

SecNumCloud est-il un label de souveraineté ? Vincent Strubel botte en touche :  « Il est difficile de répondre à cette question, vu que le concept de souveraineté numérique n’est quasiment jamais défini, et que tout le monde lui donne un sens différent ».

Pour l’ANSSI, la souveraineté numérique couvre trois enjeux : ne pas être une victime facile des cyberattaques, faire appliquer nos règles plutôt que subir celles des autres, et disposer d’une liberté de choix technologique. SecNumCloud répond aux deux premiers et contribue au troisième.

« Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, souveraines, et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », affirme Vincent Strubel. Mais il avertit aussitôt : cette qualification « ne va pas faire naître des solutions alternatives ou des briques technologiques maîtrisées »».  « C’est un outil de cybersécurité, pas de politique industrielle. »

Hybride ou non, même combat

Le directeur de l’ANSSI tord le cou à une idée reçue : les offres « hybrides » qualifiées « satisfont exactement les mêmes exigences que les autres ». La distinction entre hybride et non-hybride ? « Assez artificielle », tranche-t-il. « Il n’y a pas d’un côté des offres totalement dépendantes de fournisseurs non européens et de l’autre des offres 100% européennes. »

Certains réclament un label light, reprenant uniquement les critères capitalistiques sans les exigences techniques. Vincent Strubel balaie l’idée : « Du point de vue de la cybersécurité, ça n’aurait aucun sens de couvrir uniquement certaines menaces, et pas d’autres.» Une solution doit couvrir tous les risques, « car les attaquants visent toujours le maillon faible ».

Son image choc : « Un cloud échappant au droit non européen, mais à la merci des cyberattaques, ça n’a pas plus de sens qu’une maison avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau.»

Même refus pour un label purement technique : impossible de couvrir les risques juridiques par la seule technique. Le chiffrement des données, par exemple, « ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement ».

Photo : © DR

The post Le patron de l’ANSSI sur SecNumCloud : « Pas une médaille en chocolat » appeared first on Silicon.fr.

Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).

En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :

• Recherche d’indicateurs de compromission (REC)
• Investigation numérique (INV)
• Analyse de codes malveillants (CODE)
• Pilotage et coordination des investigations (PCI)

La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.

Une marge de manœuvre pour déléguer

La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.

L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :

• Retranscription et rédaction des comptes rendus de réunions
• Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
• Retranscription des décisions, actions et arbitrages
• Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex

Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.

Se synchroniser avec l’activité PCI

En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »

Le prestataire doit être capable d’aider à identifier, en amont :

• Applications, systèmes, données et périodes critiques de l’organisation
• Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
• Tiers éventuels dont l’implication pourrait être nécessaire
• Principaux enjeux à court et moyen terme et obligations juridiques applicables
• Enjeux de communication de crise

Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.

Retex et restitution « à chaud » au niveau élevé de qualification

Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.

• Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
• Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
• Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.

Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.

Illustration © VicenSahn – Adobe Stock

The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.

Sécurité du musée du Louvre, épisode 2. Après le « braquage du siècle » dans la galerie Apollon exécuté à grands coups de scie circulaire, Libération révèle que le dispositif de cybersécurité du plus grand musée du monde était aussi fragile que les vitrines censées protéger les bijoux de la couronne.

Le quotidien a exhumé « des documents confidentiels ou publiés dans le cadre d’appels d’offres » qui révèle l’ampleur du fiasco cyber.

Première étape : décembre 2014. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) réalise un premier audit du réseau de sûreté du musée qui contrôle les systèmes les plus critiques : contrôle d’accès, alarmes, vidéosurveillance. Les conclusions, consignées dans un rapport de 26 pages estampillé « diffusion restreinte », sont alarmantes.

The post Quand un rapport de l’ANSSI révélait les défaillances cyber du Louvre appeared first on Silicon.fr.

Les municipales 2026 s’annoncent sous tension numérique. Zataz alerte sur les cyberrisques visant les mairies françaises avant le scrutin....