Le Visa de sécurité SecNumCloud repose sur un référentiel exigeant développé par l’ANSSI. Il permet d’identifier des offres de services cloud « de confiance », c’est-à-dire justifiant d’un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles.

L’ANSSI et la DGE sont conscientes que ce Visa de sécurité constitue un processus exigeant et coûteux, en particulier pour les startups et PME développant des logiciels et proposant des services de PaaS (platform as a service) ou de SaaS (software as a service).

L’Etat entend donc lever ces freins pour nos startups et PME avec l’ouverture d’un dispositif d’accompagnement, qui est doté d’une enveloppe de 3,5 millions d’euros, financée dans le cadre de la stratégie cloud de France 2030.
 

L’ambition de cette initiative est d’accompagner les entreprises souhaitant être qualifiées SecNumCloud tout au long de leur préparation à la qualification et selon leur niveau de maturité. Le dispositif inclut ainsi un audit initial pour définir le niveau de maturité de l’entreprise candidate, des prestations de conseil (plan de développement à une démarche de qualification et plan de préparation à la qualification), et enfin une aide au financement pour la qualification elle-même. Ces prestations seront réalisées, dans un premier temps, par des Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), puis par des Prestataires d’Accompagnement et de Conseil en Sécurité (PACS) lorsque la qualification sera en vigueur.

Lancé ce 22 décembre 2022, le guichet d’accès au dispositif est confié à Bpifrance, en lien étroit avec l’ANSSI et la DGE (Direction Générale des Entreprises).

Une première relève du dispositif aura lieu dès le 15 février 2023 et cible en priorité des PME qui souhaitent commercialiser une offre qualifiée SecNumCloud sous 2 ans : https://www.bpifrance.fr/nos-appels-a-projets-concours/guichet-dacces-au-dispositif- daccompagnement-a-la-qualification-secnumcloud

Piloté par la Direction générale des Entreprises (DGE) avec la Direction Générale de la recherche et de l’innovation (DGRI) et l’appui du Secrétariat Général pour l’Investissement (SGPI), le volet cloud de France 2030, doté de 667M€, soutient l’innovation dans ce domaine, et en particulier auprès des acteurs émergents, PME et start-ups.

Jean-Noël Barrot, Ministre délégué chargé de la Transition numérique et des Télécommunications, a déclaré : « Avec le lancement de ce dispositif, c’est un message que nous adressons à notre riche écosystème de start-ups et PME du logiciel français : le cloud de confiance se bâtira aussi sur vos forces, sur la qualité de vos services, et par la reconnaissance du haut niveau de cybersécurité et de protection que vous êtes capables de proposer. »

 Thomas Courbe, Directeur général des Entreprises, a déclaré : « Les services cloud sont essentiels pour l’innovation et la transformation numérique : nos entreprises doivent disposer d’un large panel de solutions qualifiées cloud de confiance. Lever les verrous d’accès à cette qualification pour nos PME est donc un enjeu majeur, et je suis ravi que nous y répondions aujourd’hui. »

 Guillaume Poupard, Directeur général de l’ANSSI, a déclaré : « Ce dispositif d’accompagnement est parfaitement adapté aux besoins comme aux différents niveaux de maturité de nos start-ups et PME. Il nous permettra d’enrichir l’offre de services cloud avec un Visa de sécurité SecNumCloud, élément crucial pour accroître le niveau global de cybersécurité en France. »

Gratuit et 100% en ligne.
MonServiceSécurisé est la nouvelle solution de l’ANSSI, incubée par son laboratoire d’innovation, pour renforcer la cybersécurité de tous les services publics numériques : site web, applications mobile et API.

Collaboratif et pédagogique.
Pensée par et pour les services publics, MonServiceSécurisé leur permet de gagner en efficacité grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indice cyber final pour évaluer le niveau de sécurité et une homologation clé-en-main. Un mode collaboratif permet de déléguer et de faire collaborer toutes les parties prenantes (DSI, directions métiers, chefs de projet).

TÉMOIGNAGES DES BÉNÉFICIAIRES

Marylyne Boubée, Responsable de la Sécurité des Systèmes d’Information du Conseil départemental de Haute-Garonne

Fabrice Idier, Responsable des Systèmes d’Information du département de la Seine-Saint-Denis

Matthieu Devallé, Responsable de la Sécurité des Systèmes d’Information adjoint au Centre Interministériel des Services informatiques relatifs aux Ressources Humaines

MARYLYNE BOUBÉE

RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION DU CONSEIL DÉPARTEMENTAL DE HAUTE-GARONNE

« Cet outil permet de rendre accessible l’homologation des téléservices à tous les acteurs. »

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Afin de réaliser l’homologation de nos téléservices. Nous recherchions un outil d’analyse de risques plus complet que ceux dont nous disposions, mais aussi une solution collaborative.

Pourquoi avoir choisi MonServiceSécurisé ?

Que pouvait-il y avoir de mieux qu’un produit proposé par ANSSI ? Les outils classiques d’analyse de risque sont très complexes, pour qui n’est pas du métier. A l’inverse, MonServiceSécurisé est très accessible. Il nous permet de travailler avec les chefs de projet et l’ensemble des métiers qui n’appartiennent pas au domaine informatique. Autre avantage, non négligeable : l’interface est nettement plus agréable qu’un tableur classique. Et les résultats sont très probants : la synthèse finale et l’Indice Cyber offrent une vision panoramique et constituent une vraie plus-value.

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Cet outil permet de rendre accessible l’homologation des téléservices à tous les acteurs. Ce qui constitue un grand avantage pour les entités qui n’ont pas forcément de RSSI. Grâce à MonServiceSécurisé, toutes les collectivités peuvent se donner les moyens de respecter les contraintes d’homologation.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

MonServiceSécurisé présente de nombreuses qualités pour ses utilisateurs. Son utilisation est facile et son interface est agréable. Cet outil permet en outre d’accéder à un ensemble de documentations et d’annexes très précieuses. Cette solution présente aussi un gain en terme d’image : grâce à MonServiceSécurisé nous pouvons assurer à nos partenaires et à nos usagers que nous respectons les préconisations de l’ANSSI.

FABRICE IDIER

RESPONSABLE DES SYSTÈMES D’INFORMATION DU DÉPARTEMENT DE LA SEINE-SAINT-DENIS

« C’est sa simplicité et sa facilité d’emploi qui nous ont convaincus.»

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Nous avons utilisé MonServiceSécurisé pour initier nos démarches d’homologation, qui sont devenues incontournables avec l’essor des portails numériques et l’intensifications du recours aux téléservices. MonServiceSécurisé nous a permis à la fois d’améliorer nos procédures de sécurisation de réaliser rapidement une « checklist » de points à traiter et de les partager à nos équipes projets.

Pourquoi avoir choisi MonServiceSécurisé ?

C’est sa simplicité et sa facilité d’emploi qui nous ont convaincus. Toutes les thématiques sont présentées avec clarté. MonServiceSécurisé offre en outre une solution parfaite pour faire collaborer toutes les parties prenantes . Cette approche collaborative est un vrai avantage pour les utilisateurs. De plus, l’ANSSI apporte une très solide garantie du respect de la règlementation !

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Il y a véritablement un avant et un après. MonServiceSécurisé m’a permis de partager ma démarche d’homologation des téléservices avec les différents métiers impliqués et les chefs de projet. Ce qui nous permet d’ anticiper les enjeux de sécurisation parfois dès la conception de nos services (« Security by design »), et de sensibiliser les acteurs des projets. De plus, cette solution nous permet de faire un inventaire exhaustif de tous nos téléservices et de nos portails, et de lister tous les points d’amélioration.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

Sa dimension collaborative, son référentiel adapté de mesures de sécurité, son ergonomie et la simplicité qu’elle offre pour initier une démarche même avec des agents non aguerris à l’homologation.

MATTHIEU DEVALLÉ

INGÉNIEUR DE L’INDUSTRIE ET DES MINES, RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION ADJOINT AU CENTRE INTERMINISTÉRIEL DES SERVICES INFORMATIQUES RELATIFS AUX RESSOURCES HUMAINES

« MonServiceSécurisé offre tous les avantages d’un outil collaboratif»

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Nous avons fait appel à MonServiceSécurisé pour l’homologation et la mise en conformité de nos systèmes d’information avec les normes en vigueur, en effectuant une revue complète de nos systèmes d’information.

Pourquoi avoir choisi MonServiceSécurisé ?

Nous l’avons d’abord testé dans une démarche exploratoire avant d’être convaincus par l’homologation d’un premier service. Nous avons ensuite décidé de généraliser l’usage de MonServiceSécurisé pour une partie de nos homologations (15 ont été réalisées à ce jour).

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Des homologations beaucoup plus rapides, un parcours guidé grâce à des référentiels et des catalogues de risques et de mesures de sécurité déjà établis ainsi qu’un document récapitulatif exhaustif à présenter à l’autorité d’homologation. Par ailleurs, il s’agit d’une offre en SaaS, ce qui nous permet à la fois de nous affranchir des contraintes d’hébergements et de profiter de tous les avantages d’un outil collaboratif en ligne hébergé par l’ANSSI. Grâce à cet aspect collaboratif, nous avons pu intégrer les métiers à la démarche (développeurs, chefs de projet, etc.) comme le préconisent les autorités en matière de sécurité du numérique.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

MonServiceSécurisé a l’avantage d’être simple d’utilisation et d’être en même temps une solution de confiance, développée par l’ANSSI. Nous sommes éditeurs interministériels d’application dans le domaine des ressources humaines, et l’utilisation d’un outil porté par l’ANSSI pour réaliser les homologations de sécurité d’une partie de nos services peut constituer un gage de confiance pour nos partenaires.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le BSI (Bundesamt für Sicherheit in der Informationstechnik) ont signé en juin 2022 un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN (Certification de Sécurité de Premier Niveau) et BSZ (Beschleunigte Sicherheitszertifizierung). Cette publication conjointe, met l’accent sur ces types de schémas de certification de sécurité qui ont la particularité d’être réalisés dans des délais prédéterminés et d’alléger l’effort pesant sur les fournisseurs de produits.

Pour découvrir cette publication conjointe, cliquez sur le lien ci-dessous.

Publication conjointe ANSSI / BSI – 2022

Il s’agit de la cinquième publication conjointe entre l’ANSSI et le BSI.

Vous souhaitez (re)découvrir les précédentes publications : 2018 / 2019 / 2020 / 2021

Avec plus de 100 organisations participantes sur tout le territoire national, REMPAR22 fédère cet écosystème dans sa diversité autour d’un exercice cyber commun. Dispositif aujourd’hui inédit en France, la mise en place de cet exercice au sein du Campus Cyber, s’inscrit dans une stratégie d’entraînement cyber globale au profit d’acteurs publics, d’entreprises et d’associations, de niveau décisionnel et opérationnel.

Cet événement illustre une volonté forte de collaboration poussée afin d’améliorer le niveau global de cybersécurité en France. Face à des attaques qui se multiplient, il est essentiel de s’interroger sur les capacités des organisations françaises à répondre à une crise majeure sur leurs services. Les participants à l’exercice seront ainsi rassemblés dans une entreprise fictive en proie à une cyberattaque de grande ampleur et devront se coordonner afin de gérer la pression et d’opter pour les bons réflexes afin d’assurer une continuité d’activité.

L’exercice REMPAR22 est à l’initiative de trois instances, l’ANSSI, le Campus Cyber et le CCA, qui collaborent de façon rapprochée pour une organisation efficace. Tous ensemble, ils ont défini des objectifs pour cette séquence :

• Sensibiliser aux enjeux de continuité d’activité face au risque de « blackout » numérique ;
• Tester les dispositifs de gestion de crise afin de s’assurer de la prise en compte des spécificités des cyberattaques ;
• Entrainer la coordination des acteurs entre eux et au sein d’un même secteur ;
• Travailler les modalités de communication de crise en interne et en externe ;
• Créer des dynamiques de partage et d’échange entre les communautés et les secteurs.

Cet événement de premier plan réunit 90 partenaires et 4000 visiteurs des secteurs publics et privés de la cybersécurité pendant trois jours. Enjeux sociétaux, recherche et innovation, développement économique et industriel, coopération européenne sont autant de thématiques qui seront au programme de cette 7^e édition.

Sur notre stand 32, nos agents se rendront disponibles pour vous rencontrer, vous présenter nos dernières actualités et répondre à vos questions. Vous aurez également l’occasion d’échanger avec nos équipes sur les opportunités pour rejoindre l’ANSSI, à quelques mois de l’ouverture de notre nouvelle antenne rennaise.

Les temps forts

• Le 15 novembre de 18h30 à 19h15, keynote de Guillaume Poupard – La Nef niveau 0 (ouvert à l’ensemble des visiteurs)
• Le 16 novembre à 9h30, conférence de presse de présentation des résultats de la nouvelle enquête de l’Observatoire des métiers de l’ANSSI, avec Guillaume Poupard, directeur général de l’ANSSI, et Aurélie Bauer, cheffe du Centre de Formation à la Sécurité des Systèmes d’Information (réservé aux journalistes)
• Le 16 novembre, participation de l’ANSSI au forum du recrutement

Retrouvez-nous lors des conférences et tables-rondes

• Le 15 novembre à 9h30: table-ronde « Femmes dans la cyber », avec Melissa Rossi, cryptologue à l’ANSSI
• Le 15 novembre à 15h30: table-ronde « Villes et territoires numériques de confiance face à la menace cyber », avec Yves Verhoeven, sous-directeur Stratégie de l’ANSSI
• Le 15 novembre à 15h 30 : conférence C&ESAR «Zero Trust – faut-il avoir confiance ? », avec Michaël Dechandon et David Passani, architectes SSI à l’ANSSI
• Le 17 novembre à 11h30 : table-ronde « Enjeu de la certification et de la maturité Cyber », avec Sara Sellos, coordinatrice sectorielle Défense à l’ANSSI

En savoir plus : ECW 2022 | European Cyber Week | Rennes (european-cyber-week.eu)

La task force d’experts français organisée par l’AFNOR (Structure AFNOR/CN CYBERSECURITE | Norm’Info) en lien avec le Club EBIOS et l’ANSSI (représentée par le bureau Management des Risques Cyber) a participé pendant plus de trois années aux travaux de révision de la norme ISO27005.

Cette task force a porté avec succès, lors de réunions internationales qui se sont tenues dès 2019, les enjeux de cette révision :

• ancrer plus fortement EBIOS Risk Manager dans la standardisation afin de pouvoir toucher plus facilement la sphère privée et internationale ;
• mettre en valeur la méthode EBIOS Risk Manager comme étant une instanciation de l’ISO/CEI 27005:2022 « by design » (plus d’informations sur l’analyse technique de la comptabilité EBIOS Risk Manager et ISO27005:2022:  Club EBIOS – lien-ebiosrm-iso27005 (club-ebios.org)

L’alignement des solutions labellisées EBIOS Risk Manager vis-à-vis de la norme révisée ISO/CEI 27005:2022 (vocabulaire, termes, etc.) sera pris en compte lors de la mise à jour du référentiel de labellisation EBIOS Risk Manager.

Les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) ont pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leur mission de gestion des risques et de protection des systèmes d’information.

Compte tenu de la complexité et de la sensibilité croissante des systèmes d’information dans leurs dimensions techniques, organisationnelles ou encore réglementaires, l’ANSSI a élaboré un référentiel visant à apporter aux commanditaires de telles prestations les garanties nécessaires sur les compétences des prestataires, le processus d’accompagnement et de conseil ainsi que la sécurité du système d’information lié aux prestations.

Afin de compléter les dispositions de la première version de référentiel et de répondre aux besoins des organisations face à la montée de la menace cyber, l’ANSSI propose l’intégration d’une nouvelle activité dans le référentiel PACS visant à identifier les prestataires en préparation aux crises d’origine cyber. Ces prestations ont pour objectif de permettre la montée en maturité des organisations commanditaires, notamment en complétant leur dispositif et leur gouvernance de gestion de crise avec un volet cyber, en formalisant des plans tels que PCA et PRA cyber, en créant des fiches réflexes pour améliorer la réponse des équipes dirigeantes, opérationnelles, techniques et de communication, en créant une stratégie de formation et d’entraînement, ou encore en organisant des exercices de crise.

Cette nouvelle activité est mise en ligne aujourd’hui dans le cadre d’un appel public à commentaires. Les observations, les commentaires et les propositions peuvent être transmis jusqu’au 16 décembre 2022, de préférence par courriel, à l’adresse qualification@ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous.

Les exigences relatives à cette nouvelle activité de préparation aux crises d’origine cyber apparaissent en marques de révision dans le référentiel.

L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.

À la suite du recueil et de la prise en compte des commentaires, l’ANSSI intégrera les suggestions pertinentes en parallèle de celles identifiées lors de la phase expérimentale actuellement en cours, et ce afin de pouvoir publier un référentiel consolidé dans les prochains mois. L’activité « préparation aux crises d’origine cyber » ne fera pas l’objet de phase expérimentale.

A l’occasion de ce grand rendez-vous annuel des acteurs de la cybersécurité, il s’exprimera sur la professionnalisation de la menace et reviendra sur la nécessité de changer d’échelle pour élever notre niveau de cybersécurité. NIS 2, cloud, innovation : les défis à relever sont nombreux et s’imposent à tous afin d’élever le niveau de cybersécurité de la Nation.

Il participera ensuite à une table ronde aux côtés de Christian-Marc Lifländer, chef de la Section Cyberdéfense à l’OTAN.

Suivez l’intervention de Guillaume Poupard en direct sur la chaîne YouTube de l’événement : Les Assises de la cyber.

Plusieurs agents de l’ANSSI interviendront également lors de tables rondes pendant l’événement :

• Le mercredi 12 octobre de 17h à 17h45 : « Comment avoir confiance dans l’écosystème ? », Vivien Mura, Chef de division Industrie et Technologies, Sous-Direction Expertise ANSSI
• Le vendredi 14 octobre de 15h à 15h45 : « L’apport d’Ebios RM dans la cybersécurité de la supply chain », Vincent Loriot, Chef de la division Management de la Sécurité Numérique, Sous-Direction Stratégie ANSSI

En savoir plus : lesassisesdelacybersecurite.com

L’événement, dont le thème était « Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europe », a également accueilli la 4^e cérémonie de remise du Visa de sécurité ANSSI, cérémonie annuelle depuis le lancement de la marque en 2018.

Au cours de cette journée, des intervenants de l’ANSSI, mais aussi de l’INRIA et des représentants d’acteurs industriels sont revenus sur le bilan du volet cybersécurité de France Relance, les initiatives européennes en matière de sécurité numérique, le transfert technologique et les projets de recherche, l’évolution des processus de certification et qualification, et l’utilisation de l’analyse statique de code.

Enfin, Emmanuel Naëgelen, directeur général adjoint de l’ANSSI, a remis le Visa de sécurité aux entreprises ayant obtenu de nouvelles certifications et qualifications pour leurs produits et services. Félicitations à elles !

Félicitations également aux entreprises qui avaient déjà obtenu le Visa de sécurité ANSSI lors d’une précédente édition, et qui font l’effort de maintenir leurs engagements.

Le Visa de sécurité en 2021 : 88 certifications délivrées et 167 qualifications délivrées, + 4% de solutions ayant obtenu un Visa de sécurité ANSSI entre 2020 et 2021.

Plus d’infos sur le Visa de sécurité ANSSI