SecNumCloud
RĂ©fĂ©rentiel de sĂ©curitĂ© de l'ANSSI pour les prestataires de services cloud. Guide des exigences et de leur mise en Ćuvre opĂ©rationnelle.
Présentation
SECNUMCLOUD - VUE D'ENSEMBLE
ââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ
Objectif:
âââ Qualifier les prestataires cloud de confiance
âââ Garantir un niveau de sĂ©curitĂ© Ă©levĂ©
âââ ProtĂ©ger les donnĂ©es sensibles (OIV, administrations)
âââ SouverainetĂ© : donnĂ©es hĂ©bergĂ©es en France/UE
Versions:
âââ SecNumCloud 3.1 (2022) - Version actuelle
âââ SecNumCloud 3.2 (2024) - En cours de dĂ©ploiement
âââ Alignement EUCS (European Cybersecurity Certification Scheme)
Niveaux:
âââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ
â ESSENTIEL â Exigences de base, PME, donnĂ©es peu sensibles â
âââââââââââââââââŒââââââââââââââââââââââââââââââââââââââââââââââââââââââ€
â STANDARD â Niveau intermĂ©diaire, entreprises â
âââââââââââââââââŒââââââââââââââââââââââââââââââââââââââââââââââââââââââ€
â AVANCĂ â Exigences maximales, OIV, donnĂ©es sensibles â
â (SecNumCloud)â Qualification ANSSI obligatoire â
âââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ
PĂ©rimĂštre:
âââ IaaS (Infrastructure as a Service)
âââ PaaS (Platform as a Service)
âââ SaaS (Software as a Service)
âââ Conteneurs / Kubernetes
Structure du Référentiel
Chapitres Principaux
STRUCTURE SECNUMCLOUD 3.2
ââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ
1. GOUVERNANCE DE LA SĂCURITĂ
âââ 1.1 Politique de sĂ©curitĂ© (PSSI)
âââ 1.2 Organisation de la sĂ©curitĂ©
âââ 1.3 Gestion des risques
âââ 1.4 ConformitĂ© lĂ©gale et rĂ©glementaire
âââ 1.5 Relations avec les autoritĂ©s
2. PROTECTION DES DONNĂES
âââ 2.1 Classification des donnĂ©es
âââ 2.2 Localisation des donnĂ©es (France/UE)
âââ 2.3 Chiffrement des donnĂ©es
âââ 2.4 Gestion des clĂ©s
âââ 2.5 Droit d'accĂšs et portabilitĂ©
3. SĂCURITĂ DES RESSOURCES HUMAINES
âââ 3.1 Avant l'embauche (screening)
âââ 3.2 Pendant l'emploi (sensibilisation)
âââ 3.3 Fin de contrat
4. GESTION DES ACTIFS
âââ 4.1 Inventaire des actifs
âââ 4.2 Classification
âââ 4.3 Gestion des supports amovibles
5. CONTRĂLE D'ACCĂS
âââ 5.1 Politique d'accĂšs
âââ 5.2 Gestion des identitĂ©s
âââ 5.3 Authentification forte (MFA)
âââ 5.4 Gestion des privilĂšges (PAM)
âââ 5.5 Revue des droits
6. CRYPTOGRAPHIE
âââ 6.1 Politique cryptographique
âââ 6.2 Algorithmes approuvĂ©s
âââ 6.3 Gestion des clĂ©s (KMS)
âââ 6.4 PKI et certificats
7. SĂCURITĂ PHYSIQUE
âââ 7.1 PĂ©rimĂštres de sĂ©curitĂ©
âââ 7.2 ContrĂŽle d'accĂšs physique
âââ 7.3 Protection contre les menaces
âââ 7.4 SĂ©curitĂ© des Ă©quipements
8. SĂCURITĂ DES OPĂRATIONS
âââ 8.1 ProcĂ©dures d'exploitation
âââ 8.2 Gestion des changements
âââ 8.3 SĂ©paration des environnements
âââ 8.4 Protection malware
âââ 8.5 Sauvegarde
âââ 8.6 Journalisation et surveillance
âââ 8.7 Gestion des vulnĂ©rabilitĂ©s
9. SĂCURITĂ DES COMMUNICATIONS
âââ 9.1 Gestion du rĂ©seau
âââ 9.2 Transferts d'information
âââ 9.3 Cloisonnement
10. ACQUISITION ET DĂVELOPPEMENT
âââ 10.1 Exigences sĂ©curitĂ©
âââ 10.2 DĂ©veloppement sĂ©curisĂ©
âââ 10.3 Tests de sĂ©curitĂ©
âââ 10.4 Protection des environnements
11. RELATIONS FOURNISSEURS
âââ 11.1 Politique fournisseurs
âââ 11.2 Gestion des prestations
âââ 11.3 ChaĂźne d'approvisionnement
12. GESTION DES INCIDENTS
âââ 12.1 ProcĂ©dures de rĂ©ponse
âââ 12.2 Signalement des incidents
âââ 12.3 Analyse et amĂ©lioration
âââ 12.4 Collecte de preuves
13. CONTINUITĂ D'ACTIVITĂ
âââ 13.1 Planification (PCA/PRA)
âââ 13.2 Redondance
âââ 13.3 Tests et exercices
14. CONFORMITĂ
âââ 14.1 Exigences lĂ©gales
âââ 14.2 Revues de sĂ©curitĂ©
âââ 14.3 Audits
Exigences Clés par Domaine
1. Journalisation et Traçabilité
Exigences Journalisation (8.6):
Events obligatoires:
Authentification:
- Connexions réussies et échouées
- DĂ©connexions
- Verrouillages de comptes
- Changements de mot de passe
- Utilisation de privilÚges élevés
Gestion des comptes:
- Création/modification/suppression utilisateurs
- Modifications de groupes et privilĂšges
- Modifications de politiques
Actions administratives:
- Modifications de configuration
- DĂ©marrage/arrĂȘt de services
- Modifications de rĂšgles firewall
- AccÚs aux données sensibles
SystĂšme:
- DĂ©marrage/arrĂȘt systĂšme
- Erreurs et alertes critiques
- Modifications de l'heure systĂšme
- Effacement de journaux
Conservation:
- Minimum 6 mois en ligne
- Minimum 1 an en archive
- 3 ans recommandé pour les OIV
- Intégrité garantie (horodatage, signature)
Centralisation:
- SIEM ou concentrateur de logs
- Corrélation des événements
- Alerting en temps réel
- AccĂšs restreint aux logs
Implémentation:
Windows: NXLog â Concentrateur
Linux: rsyslog/auditd â Concentrateur
Applications: Logging applicatif â Concentrateur
2. ContrĂŽle d'AccĂšs et Authentification
Exigences Authentification (5.3):
MFA obligatoire pour:
- AccĂšs administrateurs
- AccĂšs VPN
- AccĂšs console cloud
- AccÚs données sensibles
Méthodes acceptées:
- TOTP (Google Authenticator, etc.)
- Clés physiques (YubiKey, FIDO2)
- Certificats sur carte Ă puce
- Push notification (avec PIN)
Mots de passe:
- Minimum 12 caractĂšres (admin: 16)
- Complexité (majuscules, chiffres, spéciaux)
- Pas de réutilisation (historique 12)
- Expiration 90 jours (ou monitoring compromission)
- Verrouillage aprĂšs 5 Ă©checs
Comptes privilégiés:
- Comptes nominatifs (pas de comptes génériques)
- PAM (Privileged Access Management)
- Sessions enregistrées
- Just-in-time access si possible
3. Chiffrement et Cryptographie
Exigences Cryptographie (6):
Données au repos:
- Chiffrement AES-256 minimum
- Gestion des clés séparée (KMS)
- Clés sous contrÎle du client (BYOK) si possible
Données en transit:
- TLS 1.2 minimum (TLS 1.3 recommandé)
- Certificats valides et vérifiés
- Perfect Forward Secrecy (PFS)
- DĂ©sactivation protocoles obsolĂštes (SSLv3, TLS 1.0/1.1)
Algorithmes approuvés ANSSI:
Chiffrement symétrique:
- AES-128, AES-256
Chiffrement asymétrique:
- RSA 2048+ (3072 recommandé)
- ECDSA P-256, P-384
- Ed25519
Hash:
- SHA-256, SHA-384, SHA-512
- SHA-3
Ăchange de clĂ©s:
- ECDH P-256+
- X25519
Interdit:
- MD5, SHA-1 (sauf compatibilité legacy documentée)
- DES, 3DES
- RSA < 2048 bits
- RC4
4. Gestion des Vulnérabilités
Exigences Vulnérabilités (8.7):
Scan régulier:
- Scan infrastructure mensuel minimum
- Scan aprĂšs tout changement majeur
- Scan des images conteneurs avant déploiement
DĂ©lais de correction:
Critique (CVSS >= 9.0):
- Ăvaluation: 24h
- Correction: 72h
- Mesure compensatoire si délai impossible
Haute (CVSS 7.0-8.9):
- Correction: 7 jours
Moyenne (CVSS 4.0-6.9):
- Correction: 30 jours
Basse (CVSS < 4.0):
- Correction: 90 jours
Patch management:
- Processus documenté
- Tests avant déploiement production
- Rollback possible
- Traçabilité des patchs appliqués
Veille sécurité:
- Abonnement CERT-FR
- Suivi CVE des composants utilisés
- Notification des clients si impact
5. Sauvegarde et Continuité
Exigences Sauvegarde (8.5):
Politique:
- RPO/RTO définis par criticité
- Sauvegardes chiffrées
- Stockage géographiquement séparé
- Tests de restauration réguliers
Fréquence minimale:
- Données critiques: quotidien
- Configurations: aprĂšs chaque changement
- Logs: temps réel vers concentrateur
RĂ©tention:
- Selon classification des données
- Minimum 30 jours opérationnel
- Archive selon exigences légales
Tests:
- Test de restauration trimestriel
- Test PRA annuel
- Documentation des procédures
Exigences PCA/PRA (13):
Plan de Continuité:
- Scénarios de sinistre identifiés
- Procédures de basculement
- Communication de crise
- Tests annuels minimum
Redondance:
- Pas de SPOF (Single Point of Failure)
- Multi-datacenter si niveau avancé
- Réplication des données critiques
6. Cloisonnement et Isolation
Exigences Isolation (9.3):
Multi-tenant:
- Isolation stricte entre clients
- Pas de fuite de données inter-tenant
- Ressources dédiées ou isolation garantie
RĂ©seaux:
- Segmentation par zone de sécurité
- Filtrage inter-zones (firewall)
- DMZ pour exposition externe
- Micro-segmentation si possible
Environnements:
- SĂ©paration dev/test/prod
- Pas de données prod en dev/test
- Anonymisation si nécessaire
Conteneurs:
- Isolation des namespaces
- Politique réseau Kubernetes
- Images de base durcies
- Scan des vulnérabilités
Mise en Ćuvre Technique
Checklist Serveurs Linux
# Conformité SecNumCloud - Serveur Linux RHEL/Rocky
# === JOURNALISATION ===
# Configurer auditd
cat > /etc/audit/rules.d/secnumcloud.rules << 'EOF'
# Suppression des rĂšgles existantes
-D
# Buffer et gestion des erreurs
-b 8192
-f 1
# Surveillance des fichiers critiques
-w /etc/passwd -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k privileged
-w /etc/sudoers.d/ -p wa -k privileged
# Surveillance des connexions
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
# Commandes privilégiées
-a always,exit -F path=/usr/bin/sudo -F perm=x -k privileged
-a always,exit -F path=/usr/bin/su -F perm=x -k privileged
# Modifications systĂšme
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system
-a always,exit -F arch=b64 -S clock_settime -k time-change
# Modifications réseau
-w /etc/sysconfig/network-scripts/ -p wa -k network
# Chargement modules kernel
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
# Immutabilité (à la fin)
-e 2
EOF
# Recharger auditd
augenrules --load
# === AUTHENTIFICATION ===
# Politique de mots de passe
cat > /etc/security/pwquality.conf << 'EOF'
minlen = 14
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1
minclass = 4
maxrepeat = 3
maxclassrepeat = 4
EOF
# Verrouillage aprĂšs Ă©checs (faillock)
authselect select sssd with-faillock --force
# Configuration faillock
cat > /etc/security/faillock.conf << 'EOF'
deny = 5
unlock_time = 900
fail_interval = 900
EOF
# === CRYPTOGRAPHIE ===
# DĂ©sactiver les protocoles faibles SSH
cat >> /etc/ssh/sshd_config << 'EOF'
# SecNumCloud SSH Hardening
Protocol 2
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp384
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
LoginGraceTime 60
ClientAliveInterval 300
ClientAliveCountMax 2
EOF
# Configuration TLS systĂšme (crypto-policies RHEL)
update-crypto-policies --set FUTURE
# === SERVICES ===
# DĂ©sactiver services inutiles
systemctl disable --now rpcbind cups avahi-daemon
# VĂ©rifier les ports ouverts
ss -tulnp
# === FIREWALL ===
# Politique par défaut: deny
firewall-cmd --set-default-zone=drop
firewall-cmd --permanent --zone=drop --add-service=ssh
firewall-cmd --reload
Checklist Serveurs Windows
# Conformité SecNumCloud - Serveur Windows
# === JOURNALISATION ===
# Configurer la politique d'audit avancée
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
auditpol /set /subcategory:"Special Logon" /success:enable
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Process Creation" /success:enable
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable
# Command line dans les events 4688
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" `
-Name "ProcessCreationIncludeCmdLine_Enabled" -Value 1 -Type DWord
# PowerShell Script Block Logging
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" `
-Name "EnableScriptBlockLogging" -Value 1 -Type DWord -Force
# Taille des journaux (minimum 100MB)
wevtutil sl Security /ms:104857600
wevtutil sl System /ms:104857600
wevtutil sl Application /ms:104857600
# === AUTHENTIFICATION ===
# Politique de mots de passe (via GPO ou secpol.msc)
# Minimum 14 caractÚres, complexité, historique 24, expiration 90j
# Verrouillage de compte
net accounts /lockoutthreshold:5 /lockoutwindow:15 /lockoutduration:30
# DĂ©sactiver NTLM si possible (progressivement)
# GPO: Network security: Restrict NTLM
# === CRYPTOGRAPHIE ===
# DĂ©sactiver protocoles TLS obsolĂštes
$protocols = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1")
foreach ($protocol in $protocols) {
$path = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\$protocol\Server"
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name "Enabled" -Value 0 -Type DWord
Set-ItemProperty -Path $path -Name "DisabledByDefault" -Value 1 -Type DWord
}
# Activer TLS 1.2 et 1.3
$protocols = @("TLS 1.2", "TLS 1.3")
foreach ($protocol in $protocols) {
$serverPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\$protocol\Server"
$clientPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\$protocol\Client"
New-Item -Path $serverPath -Force | Out-Null
New-Item -Path $clientPath -Force | Out-Null
Set-ItemProperty -Path $serverPath -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path $clientPath -Name "Enabled" -Value 1 -Type DWord
}
# === SERVICES ===
# DĂ©sactiver services inutiles
$services = @("RemoteRegistry", "XblAuthManager", "XblGameSave")
foreach ($svc in $services) {
Set-Service -Name $svc -StartupType Disabled -ErrorAction SilentlyContinue
}
# === FIREWALL ===
# Activer le firewall sur tous les profils
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
# Politique par défaut : bloquer entrant
Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block
Audit et Conformité
Préparer un Audit SecNumCloud
Documentation requise:
Gouvernance:
- [ ] PSSI (Politique de Sécurité)
- [ ] Analyse de risques
- [ ] Organigramme sécurité
- [ ] Fiches de poste
Technique:
- [ ] Architecture réseau
- [ ] Inventaire des actifs
- [ ] Matrice des flux
- [ ] Procédures d'exploitation
Opérations:
- [ ] Procédures de gestion des incidents
- [ ] Plan de continuité (PCA/PRA)
- [ ] Rapports de tests PRA
- [ ] Logs des 6 derniers mois
Fournisseurs:
- [ ] Contrats avec clauses sécurité
- [ ] Liste des sous-traitants
- [ ] Ăvaluation des risques fournisseurs
Preuves techniques:
- Screenshots des configurations
- Exports de configurations (anonymisés)
- Rapports de scan de vulnérabilités
- Rapports de tests d'intrusion
- Ăchantillons de logs
- Preuves de chiffrement
Points de ContrĂŽle Courants
ContrÎles fréquemment audités:
1. Localisation des données:
- Prouver que les données restent en France/UE
- Contrats hébergeurs avec clauses géographiques
- Pas de transfert hors UE (y compris support)
2. Journalisation:
- Logs de 6 mois accessibles
- Intégrité des logs prouvée
- Couverture des events critiques
3. Gestion des accĂšs:
- MFA activé pour les admins
- Revue des droits documentée
- Comptes génériques justifiés
4. Chiffrement:
- TLS 1.2+ vérifié
- Données au repos chiffrées
- Gestion des clés documentée
5. Patch management:
- Processus documenté
- Délais de correction respectés
- Vulnérabilités critiques traitées
6. Sauvegarde:
- Tests de restauration documentés
- Sauvegardes chiffrées
- Stockage séparé
Ressources
Liens Officiels
ANSSI:
Référentiel: https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-informatique-en-nuage-secnumcloud/
Guide: https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud-referentiel-v3.2.pdf
FAQ: https://www.ssi.gouv.fr/uploads/2023/06/secnumcloud-faq.pdf
Prestataires qualifiés:
Liste: https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/
Guides complémentaires:
- Guide d'hygiĂšne informatique (42 mesures)
- Recommandations de sécurité pour les architectures AWS/Azure/GCP
- Guide de journalisation
Correspondance avec Autres Référentiels
MAPPING SECNUMCLOUD
ââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ
âââââââââââââââââââŹââââââââââââââââââŹââââââââââââââââââŹââââââââââââââââ
â SecNumCloud â ISO 27001 â SOC 2 â RGPD â
âââââââââââââââââââŒââââââââââââââââââŒââââââââââââââââââŒââââââââââââââââ€
â Chap. 1 Gouv. â A.5, A.6 â CC1 â Art. 24 â
â Chap. 2 DonnĂ©es â A.8 â CC6 â Art. 5, 32 â
â Chap. 5 AccĂšs â A.9 â CC6.1-6.3 â Art. 32 â
â Chap. 6 Crypto â A.10 â CC6.7 â Art. 32 â
â Chap. 8 Ops â A.12 â CC7, CC8 â Art. 32 â
â Chap. 12 Incid. â A.16 â CC7.4 â Art. 33, 34 â
â Chap. 13 Contin.â A.17 â A1 â Art. 32 â
âââââââââââââââââââŽââââââââââââââââââŽââââââââââââââââââŽââââââââââââââââ
Avantage SecNumCloud:
- Plus exigeant que ISO 27001 seul
- Adapté au contexte cloud
- Souveraineté intégrée
- Reconnaissance Ă©tatique (OIV, administrations)
Bonnes Pratiques
Checklist Conformité SecNumCloud:
Préparation:
- [ ] Gap analysis vs référentiel
- [ ] Plan de remédiation priorisé
- [ ] Budget et ressources alloués
- [ ] Accompagnement expert si nécessaire
Gouvernance:
- [ ] RSSI nommé
- [ ] Comité sécurité régulier
- [ ] PSSI validée et diffusée
- [ ] Analyse de risques Ă jour
Technique:
- [ ] Journalisation centralisée
- [ ] MFA déployé
- [ ] Chiffrement en place
- [ ] Patch management opérationnel
- [ ] Sauvegardes testées
Opérationnel:
- [ ] Procédures documentées
- [ ] Ăquipes formĂ©es
- [ ] Tests PRA effectués
- [ ] Incidents tracés et analysés
Audit:
- [ ] Pré-audit interne
- [ ] Remédiation des écarts
- [ ] Documentation complĂšte
- [ ] Preuves techniques prĂȘtes
Voir aussi :
- ANSSI Guides - Recommandations ANSSI
- NXLog - Centralisation logs Windows
- SSH Hardening - Durcissement SSH
- Certificates - PKI et certificats