Amis PME et start-ups, la nouvelle ne sera pas passée inaperçue en ce début d’année ! Avec une aide publique octroyée de 180 000 euros maximale réparties en différents modules sur une enveloppe de 3,5 millions d’euros, est-ce enfin le moment de se lancer dans l’aventure SecNumCloud ?
Les conditions sont librement accessibles (ici si vous ne voulez pas chercher), l’idée n’est pas de les rappeler mais de creuser un peu le sujet. Petite remarque : si vous vouliez vous lancer dans la disruption du marché IaaS, c’est raté ! Cette aide n’est que pour les services PaaS et SaaS.
Petit retour en arrière
Avant de voir comment utiliser cet argent, retour rapide sur le SecNumCloud : référentiel sorti en 2016 géré par l’ANSSI, (fortement) inspiré de l’ISO 27002 (version 2013) sans la logique d’amélioration continue de la 27001, où toutes les exigences sont obligatoires et doivent être mises en œuvre. Pas possible de « jouer » avec l’auditeur, mais il reste toujours l’interprétation et la mise en œuvre de diverses manières des exigences – bien que les compléments et les ajouts apportés par l’ANSSI ne laissent que peu de place à l’adaptation. Ses actualisations successives auront permis d’intégrer des exigences en lien avec le RGPD. La dernière en date permet de protéger la souveraineté des entreprises avec un pourcentage minimal de détention de la société dans l’Union Européenne.
Concrètement, si vous voulez vous lancer dans la qualification, il faudra viser l’état de l’art de la sécurité, donc autant s’y préparer. C’est pourquoi peu s’étaient lancés dans l’aventure, jugée certainement trop complexe et coûteuse (ils ne sont aujourd’hui que 5 qualifiés). Mais le nouveau label Cloud de confiance a changé la donne en suggérant fortement (avant de l’imposer ?) aux entreprises d’utiliser des services qualifiés.
Et donc, 100 patates, c’est suffisant ?
Les plus médisants diront qu’avec (presque) 200k en cyber, on ne fait rien et ils n’ont pas totalement tort… Mais avec 200k on peut néanmoins faire beaucoup. Dans tous les cas, il n’est pas possible de faire n’importe quoi avec cet argent, la répartition étant imposée par les modules :
- 40k max pour l’audit initial : si vous êtes une PME ou une start-up, ce montant est normalement plus que suffisant (désolé pour ceux qui voudront vendre à prix d’or leurs futurs audits SecNumCloud, même PASSI)
- 60k max pour la transformation : on vise le guide d’hygiène. Ce montant permettra en effet d’adresser un certain nombre des 42 règles, mais ne sera pas suffisant, c’est certain.
- 40k max pour la conformité : pour les plus matures et prêts à se lancer dans la qualification, mais visiblement alloués pour des audits à blanc – à voir si cela pourrait servir à autre chose sur la base de l’audit initial. La maturité imposée par le référentiel, rien que technologique avec des WAF, des sondes, du SIEM, des bastions (liste non exhaustive) a un coût non négligeable, et les 40k auraient permis de régler quelques factures aux éditeurs.
- 40k max pour la qualification : là, étant donné le nombre de jours d’audits prévus (on parle d’une dizaine de jours), cet argent ne sera pas de trop pour régler la note des auditeurs (mais à prévoir dans le budget récurrent, les audits étant annuels).
Dans tous les cas, vous l’aurez compris, avec les seuls 180k vous ne pourrez pas adresser une démarche de qualification, et c’est d’ailleurs très clairement indiqué dans les conditions qu’un budget propre doit être alloué par l’entreprise. Cela reste une aide non négligeable, reste à voir si le montant maximum sera souvent octroyé ou non.
C’est si dur que ça la qualification ?
Cela a été dit en début d’article, le référentiel SecNumCloud vise l’état de l’art de la sécurité pour donner confiance avant tout. Donc oui, l’effort et l’investissement sont non négligeables, mais néanmoins pas inatteignables. Comme évoqué, un investissement technologique relativement important est à prévoir. Donc si ce n’est pas dans vos bonnes pratiques actuelles, la note sera salée. Pour le reste, c’est de l’organisation et des processus à mettre en place, avec du temps (et un peu d’argent si vous voulez une aide externe), cela se gère plutôt facilement. Sans négliger un programme d’audit annuel important, avec des audits internes et des audits techniques à prévoir.
Ne prévoyez pas d’être qualifié en 6 mois, cela semble illusoire. 18 mois serait le meilleur compromis entre rythme, implication des équipes et projets connexes. 12 mois est atteignable mais sur un rythme très soutenu et dans l’optique de déployer techniquement tous les attendus. Au-delà de 24 mois cela reste déconseillé (déjà car pour prétendre au 180k il faut viser une qualification dans les deux ans) mais également par rapport à l’implication des équipes qui auront tout loisir de vaguer à d’autres occupations et délaisser ce projet au détriment d’autres priorités de l’organisme.
Qualification vs Certification
Pour ceux qui confondent parfois ces deux termes, il y a une petite subtilité. Dès lors que l’on parle de référentiel géré par l’ANSSI, on rentre dans un processus de qualification, défini par l’ANSSI au travers de jalons :
- J0 : je dépose mon dossier pour savoir si je peux prétendre à la qualification (si j’ai un retour négatif, au moins, j’économise des sous… et si j’ai un retour positif, j’apparais officiellement sur le site de l’ANSSI comme prétendant à la qualification, et ça c’est bon pour le business)
- J1 : je choisis mon organisme qualifié par l’ANSSI et passe mon audit (on l’a dit, plusieurs jours, entre audit documentaire et audit sur site, il faudra être patient…)
- J2 : le rapport de l’auditeur est envoyé à l’ANSSI pour vérification (si vous avez été bon en préparation, aucune raison d’avoir peur)
- J3 : l’ANSSI donne son accord (ou non) et je suis officiellement qualifié (pour 3 ans)
La certification, que l’on retrouve souvent quand on parle ISO 27001 ou HDS par exemple dans la sphère cyber, n’a aucun lien avec l’ANSSI et suit les processus de l’ISO avec en étapes :
- Le choix de l’organisme certificateur, parmi ceux accrédités (équivalent au J1)
- Un audit documentaire (équivalent au J1)
- Un audit sur site, sur la base d’entretiens et récolte de preuves (équivalent au J1)
- L’envoi du rapport au COFRAC (équivalent au J2)
- L’obtention du certificat (ou non en cas d’écart majeur) (équivalent au J3)
Donc au final, deux approches très proches mais une distinction à comprendre et à intégrer. L’ANSSI tient à sa terminologie et ses visas de sécurité (et c’est elle qui valide votre dossier !).
Et chez Advens, ils en pensent quoi ?
Si la logique du business de votre organisation impose une qualification (doctrine Cloud), la question ne se pose même pas. Si cela peut être un plus mais que vous hésitez, le premier audit permettra d’avoir une idée claire de la feuille de route et de la difficulté à être qualifié.
Dans tous les cas, et dans une optique de mutualisation des efforts (et des référentiels), cher à l’équipe cyber conformité Advens, nous ne pouvons que vous conseiller de regarder en parallèle (ou commencer par) une certification ISO 27001. Comme évoqué, le SecNumCloud étant fortement lié à la 27002, la mise en œuvre de l’annexe sera une formalité, et les concepts de la 27001 apporteront une structure et un cadre qui facilitera davantage la mise en œuvre. Et si vous gérez des données de santé, le futur HDS mettant le SecNumCloud en avant, la certification n’en sera que facilitée (cf notre article sur le nouveau HDS).
Au final, pouvoir indiquer à ses clients qu’on est qualifié ET certifié, cela donne encore plus de poids (et confiance). C’est un avantage non négligeable vis-à-vis de la concurrence ! Dans tous les cas, en tant que société qualifiée PASSI, nous serons ravis d’échanger avec vous sur ce sujet et notamment pour la première étape ou parler 27001 !