Elle s’inscrit dans la lignée de :

• la stratégie nationale pour le Cloud annoncée mi-mai 2021 par le ministère de l’économie, des finances et de la relance, le ministère de la transformation et de la fonction publiques et le secrétariat d’Etat chargé de la transition numérique et des communications électroniques ;
• l’élaboration du schéma de certification européen relatif aux prestataires de cloud, et plus particulièrement pour le niveau « élevé » de certification pour lequel la France plaide pour une équivalence avec SecNumCloud.

Les principaux apports sont :

• l’explicitation des critères d’immunité aux lois extracommunautaires, au-delà des exigences de localisation existantes, au travers d’exigences techniques destinées à limiter l’accès à l’infrastructure technique du service par des tiers et les transferts non maîtrisés et d’exigences juridiques précises relatives au prestataire et à ses liens avec des tiers. Ces critères juridiques ont été rédigés en lien étroit avec la direction générale des entreprises (DGE) ;
• la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.

Cette révision prend également en compte les activités de type CaaS (Container as a Service) ainsi que le retour d’expérience des premières évaluations.

Les observations, commentaires et propositions peuvent être transmises jusqu’au 15 novembre 2021, par courriel, à l’adresse qualification[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.

Afin de faciliter le travail de relecture et de commentaire, une version du référentiel avec marques de révision est également mise à disposition.