Blogs

SecNumCloud : qu’est-ce que c’est ?

Selon une enquête du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 54 % des entreprises disent avoir expérimenté au moins une cyberattaque en 2021. Entre phishing et injection SQL, la sécurité des données des organisations est mise à rude épreuve, qu’importe leur secteur d’activité : transport, énergie, BTP.  

Ce dernier fait même partie des cibles les plus simplement atteignables pour les cyberattaquants. Nous pourrions, par exemple, citer Bouygues Construction, Rabot Dutilleul ou encore Roger Martin qui ont subi de récents piratages informatiques. Les entreprises du BTP sont de plus en plus nombreuses à utiliser des outils digitaux au quotidien. Toutefois, pour assurer la sécurité de leurs données, il est impératif qu’elles instaurent diverses mesures de protection. Pour se prémunir des menaces, il existe certaines bonnes pratiques à adopter : travailler avec des hébergeurs certifiés SecNumCloud, préserver les messageries ou miser sur des solutions de cybersécurité qui détiennent le visa de sécurité ANSSI 

Qu’est-ce que SecNumCloud ?

La qualification SecNumCloud est une initiative de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information en France. Elle atteste du niveau de sécurité et de confiance d’un prestataire de services cloud en matière de cybersécurité en France. SecNumCloud vise à établir un cadre de sécurité pour le stockage et la gestion de données sensibles dans le cloud afin d’atténuer les risques de cyberattaques et renforcer la résilience des systèmes d’information face aux menaces numériques. La qualification s’inspire de la norme ISO 27001.

La sécurité des données, un sujet sensible, même dans le BTP

Quelles sont les conséquences des cyberattaques pour les professionnels de la construction ?  

Les cyberattaques sont un enjeu majeur pour les entreprises du BTP. Ces dernières y sont d’autant plus sujettes depuis leur digitalisation. Si travailler avec des outils numériques offre des avantages notables (productivité, rentabilité, efficacité des équipes, etc.), l’opération comporte un risque majeur : la possibilité d’être attaqué par des pirates informatiques s’il existe des failles.   

Lorsqu’elles sont provoquées, les cyberattaques perturbent l’activité de la société et leurs conséquences sont néfastes :  

  • perte ou vol de données  
  • impossibilité d’accéder aux systèmes informatiques de l’entreprise ;  
  • impacts financiers ;  
  • perte de clients  
  • dommages commerciaux ;  
  • atteinte à la réputation de l’entreprise, etc. 

Quelles sont les méthodes de piratage les plus fréquentes ?  

Pour perpétrer leurs attaques, les hackers ont recours à différentes méthodes qui peuvent être complexes, structurées ou organisées :  

  • déstabilisation (prises de contrôle des systèmes informatiques, divulgations de données, etc.) ;  
  • rançongiciel (ou ransomware), soit l’envoi d’un logiciel malveillant depuis l’étranger qui chiffre l’ensemble des données de l’entreprise et qui lui impose le paiement d’une rançon ;  
  • exfiltration, soit le transfert non autorisé des données à distance ;  
  • hameçonnage (ou phishing), qui est une forme d’escroquerie à travers laquelle le cyberattaquant se fait passer pour un organisme connu de l’entreprise ;  
  • espionnage ou sabotage 

Bien que ces risques existent, il est possible de prendre diverses mesures afin d’éviter leur apparition.  

Comment se prémunir des cybermenaces ?   

Suivre les recommandations de la Fédération Nationale des Travaux Publics (FNTP)  

La Fédération Nationale des Travaux Publics (FNTP) a présenté différentes recommandations pour renforcer la cybersécurité des sociétés :  

  • connaître précisément son parc informatique et les personnes qui ont accès à Internet ;  
  • réaliser des sauvegardes régulières des fichiers ;  
  • opter pour des mots de passe efficaces, mais jamais simples ou personnels ;  
  • installer une double authentification lorsque cela est nécessaire ;  
  • instaurer un pare-feu pour se protéger des attaques qui proviennent d’Internet ; 
  • sécuriser les messageries et disposer d’un antivirus (régulièrement mis à jour) ;  
  • créer un compte utilisateur pour chaque employé et mettre à jour les accès (notamment lorsqu’un collaborateur quitte l’entreprise) ;  
  • sensibiliser les collaborateurs aux bonnes pratiques en matière de cybersécurité ;  
  • souscrire à un contrat d’assurance pour couvrir les cyberrisques. 

En parallèle, l’entreprise doit mettre un point d’honneur à protéger ses données le mieux possible en :  

  • rédigeant un Plan de Reprise d’Activité (PRA) qui prévoit la restauration des systèmes et des données en cas d’altération de son système d’informatique ;  
  • assurant une sauvegarde des données hébergées auprès de son hébergeur.   

Travailler avec des hébergeurs certifiés SecNumCloud

En parallèle, l’entreprise peut faire le choix de travailler avec des opérateurs de services cloud qui disposent du référentiel de sécurité SecNumCloud. Dès lors, elle est certaine de faire appel à un prestataire qui respecte les exigences de sécurité imposées par l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information) et qui jouit d’un système conforme.   

La qualification SecNumCloud atteste également que les fournisseurs de services cloud respectent les bonnes pratiques relatives à la sécurité informatique. Ils représentent ainsi des prestataires de confiance pour la sécurité des données de l’entreprise.   

Les entreprises optent parfois pour des solutions de cybersécurités (logiciels antivirus, applications de protection des données, etc.) afin de se prémunir contre les cyberattaques. Très nombreuses, elles n’offrent cependant pas le même niveau d’efficacité et de robustesse. Pour s’y retrouver, il est possible de se référer aux visas de sécurité délivrés par l’ANSSI.   

L’attribution de ces visas permet de recenser les solutions les plus fiables du marché. Ces dernières ont été évaluées par des laboratoires agréés selon une méthodologie bien précise (tests de pénétration, analyses approfondies, etc.).  

Le SecNumCloud plus en détails

Créé en 2016 par l’ANSSI, le SecNumCloud permet la qualification des fournisseurs de cloud. Ce référentiel tend à enrichir l’offre de prestataires de confiance. Cette qualification, en effet, atteste :   

  • de la qualité et de la robustesse des services cloud offerts ;  
  • des compétences du prestataire.   

 La version la plus récente de SecNumCloud (version 3.2) intègre des lois européennes et non européennes. Elle répond à un très haut niveau d’exigence en matière de sécurité numérique (opérationnellement et juridiquement parlant). Elle inclut également des spécificités concernant la protection des données à caractère personnel.   

À l’heure actuelle, tous les services de cloud peuvent prétendre à la qualification SecNumCloud. Cette dernière s’adapte à différentes offres (SaaS, PaaS, IaaS, etc.) 

En France, seuls trois fournisseurs de cloud sont certifiés SecNumCloud. Parmi eux, l’on retrouve OVH, qui a été le choix de Kairnial pour accompagner les clients des secteurs sensibles (le nucléaire, l’armée, la défense, etc.) dont les projets nécessitent un hébergement souverain pour les données. Cette nouvelle offre incluant l’hébergement sur OVH permettra aux entreprises concernées de disposer d’une haute protection numérique en France : leurs données seront alors hébergées dans le pays par un hébergeur français et bénéficieront d’une haute protection numérique. 

Quelles différences entre certification et qualification ?

Une certification atteste de la qualité et de la robustesse d’un produit à partir de diverses analyses et de la réalisation de plusieurs tests. Ces derniers sont effectués par un évaluateur tiers sous l’autorité d’une organisation reconnue. La certification permet à l’utilisateur d’être certain que le produit qu’il emploie affiche un certain niveau de sécurité (dans le cas du SecNumCloud, il s’agit de l’ANSSI).

Une qualification est une recommandation de l’État de produits ou de services approuvés par une organisation reconnue (l’ANSSI, par exemple). Elle atteste de la conformité et de la sécurité des produits ou des services fournis.

Combien de temps la qualification SecNumCloud est-elle valable ?

La qualification SecNumCloud est valable durant trois ans.

Il vous reste des questions ? Nous pouvons vous appeler ! 

Contactez-nous pour avoir plus d’information sur Kairnial SecNumCloud

Loading

Pour en savoir plus

Blog

Conseils en matière de sécurité de l'information par notre expert

Le CTO Thinkproject, Dr. Ralf Hundhammer répond à nos questions sur la mise en place et le maintien d'une stratégie robuste de sécurité de l'information.

News

Autres certifications ISO 27001 pour Thinkproject

Thinkproject a étendu sa certification ISO 20071 pour inclure les sites de Kairnial et de France.