Cloud
Posture générale et actions de l'ANSSI sur le cloud
La posture générale de l'ANSSI sur le cloud repose à la fois sur un ensemble d’exigences de cybersécurité à destination des fournisseurs de services cloud mais également sur des recommandations à destination des commanditaires pour assurer la protection de leurs ressources mises dans le cloud.
Les principes défendus par l'ANSSI sur le cloud se retrouvent notamment au travers des guides de l'agence sur l'administration sécurisée des systèmes d’information (SI), sur le dimensionnement des mécanismes cryptographiques, sur la mise en place de passerelle d’interconnexion sécurisée d’un SI à internet et sur des exigences de cloisonnement entre commanditaires.
L’action de l’ANSSI suit les trois axes suivants :
La qualification SecNumCloud permet de reconnaître des offres cloud « de confiance » dont l’utilisation est préconisée pour la protection des données sensibles. Élaboré par l’ANSSI, le référentiel SecNumCloud propose un ensemble de règles de sécurité et de bonnes pratiques d’hygiène informatique, garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique.
La qualification de sécurité SecNumCloud, basée sur ce référentiel, reconnaît des offres cloud (PaaS, IaaS ou Saas) de confiance. Ces offres obtiennent un Visa de sécurité de l’ANSSI.
SecNumCloud permet aux utilisateurs finaux d'identifier des offres cloud qui visent en particulier à protéger les données et les traitements sensibles face à la menace cybercriminelle et à l'application de lois extraterritoriales. Il est à noter que la qualification SecNumCloud ne préjuge pas du niveau de sécurité des services numériques des clients qui seront portés par ces offres cloud (par exemple : un site web hébergé sur une offre qualifiée SecNumCloud).
Pour plus d’informations sur SecNumCloud, vous pouvez consulter :
- La FaQ avant de se lancer dans la qualification SecNumCloud
- Les référentiels d'exigences pour la qualification, dont celui pour SecNumCloud
- Le catalogue des produits et services qualifiés, agréés certifiés, recensant les prestataires qualifiés SecNumCloud
- Les prestataires en cours de qualification SecNumCloud
- Les centres d'évaluation pour les services, dont ceux pour SecNumCloud
La série de recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud est un outil d’aide à la décision qui précise les cas d’usage pour lesquels l’ANSSI préconise l’utilisation de solutions qualifiées SecNumCloud. Ces recommandations s’inscrivent dans la lignée de la (Ouvre une nouvelle fenêtre) doctrine « Cloud au centre » de l’Etat.
Pour plus d'informations sur l’utilisation de ces recommandations vous pouvez consulter :
L’ANSSI suit les principales évolutions des technologies de sécurité du cloud, tant au niveau scientifique que sur les pratiques de l’industrie cloud au niveau international. L’ANSSI accompagne les offreurs privés vers la qualification SecNumCloud, et cherche à accroitre le nombre des services qualifiés, en lien avec les administrations impliquées, notamment DINUM, DGE et SGPI. L’Agence accompagne également l‘offre de cloud interne de l’Etat ( (Ouvre une nouvelle fenêtre) lien).
L’ANSSI soutient également des dispositifs de financement permettant d’accompagner de développement de l’offre dans le cadre de la stratégie cloud de France 2030.
Dernières actualités de l'ANSSI sur le cloud
L’ANSSI publie son état de la menace sur …
Publié le jeudi 20 février 2025
L’ANSSI publie ses recommandations pour l’hébergement des systèmes …
Publié le lundi 8 juillet 2024
Publications de l'ANSSI sur le cloud
Foires aux questions (FAQ)
Recommandations techniques
Etats de la menace
Publications internationales en co-portage
Joint Statement by ANSSI and BSI on Cloud …
Publié le lundi 17 novembre 2025