Qu’est-ce que le SecNumCloud ?

Le label SecNumCloud est géré par l’Anssi  (Agence Nationale de la Sécurité des Systèmes d’Information) et a pour objectif de proposer un référentiel commun de bonnes pratiques relatives à la sécurité, ces règles sont d’ailleurs basées sur la norme ISO 27001. Il faut savoir que le label SecNumCloud est obtenu pour une durée de 3 ans.

Outre les bonnes pratiques de sécurité, les exigences SecNumCloud imposent un important travail de documentation des process et de segmentation du réseau. Les exigences du référentiel sont nombreuses et touchent à des aspects variés, allant de la sécurité physique des locaux aux personnels habilités à travailler sur l’offre qualifiée.

Il faut savoir que le SecNumCloud explicite des critères de protection vis-à-vis des lois extra-européennes. Ces exigences garantissent ainsi que le fournisseur de services cloud et les données qu'il traite ne peuvent être soumis à des lois non européennes. Evidemment, cela va de pair avec le RGPD, spécifique à l’Europe.

Qu’est-ce que cela implique pour SPS Commerce ?

Vous le savez, SPS Commerce (anciennement TIE Kinetix) prône la digitalisation à 100% de vos données, ce qui implique un stockage de vos données dans le cloud. 

Pour nos clients français assujettis à la TVA, SPS Commerce a dû repenser son hébergement des données de facturation pour pouvoir être en conformité avec la loi française et prétendre au statut de PDP (Plateforme de Dématérialisation Partenaire [de l’Etat]).

En effet, le cloud Microsoft Azure n’étant pas labellisé SecNumCloud, une alternative a été trouvée spécifiquement pour l’application de cette loi.

La sécurité des données de nos clients est une priorité. Nous avons déjà obtenu les certification ISO 27001, ISO 27017 et ISO 27018, qui, comme mentionné plus haut, reprennent les grands principes de la sécurité de l’information et notamment des informations personnelles identifiables (PII).
SPS Commerce reste à l’avant-garde de toute exigence légale qui peut se planifier dans le futur. C’est le cas avec le SecNumCloud qui sera exigé pour la réforme en France, mais nous pouvons nous attendre à une volonté d’une souveraineté européenne lorsqu’il s’agit de données sensibles traitées par les entreprises en Europe. 

Ce que cela signifie pour nos clients

Nos clients assujettis à la TVA en France peuvent être assurés d’être en conformité avec la loi. Mais il existe également un certain nombre d’avantages de faire appel à un prestataire SecNumCloud. La sécurité d’un cloud qualifié « SecNumCloud » n’est certes pas à démontrer, mais cette certification présente également d’autres avantages, en voici trois :

  • Valorisation de votre niveau de sécurité : La certification SecNumCloud est une preuve de votre engagement en matière de sécurité et de la qualité de vos services. Elle permet de valoriser votre niveau de sécurité auprès de vos clients et partenaires.
  • Accès aux appels d’offres d’acteurs stratégiques : La qualification SecNumCloud est de plus en plus exigée par les acteurs stratégiques, notamment les administrations publiques. Elle vous permet d’accéder à des appels d’offres réservés aux prestataires de services cloud qualifiés SecNumCloud.
  • Démonstration de votre savoir-faire au niveau européen : La qualification SecNumCloud est en adéquation avec le Cybersecurity Act de l’Union Européenne. Elle vous permet de démontrer votre savoir-faire au niveau européen et de proposer une prestation en adéquation avec le niveau élevé de sécurité exigé par le Cybersecurity Act.

Mon entreprise doit-elle se qualifier SecNumCloud ?

La certification SecNumCloud est très compliquée à obtenir, nous en sommes conscients. C’est pourquoi nous pouvons vous conseiller de faire appel à l’un des prestataires cloud qualifié pour vos données sensibles, notamment celles de la facturation. 

En revanche, cette qualification est spécifique à l’Europe, au même titre que la RGPD. Si vous traitez avec les Etats-Unis, il faudra bien analyser quelles données en votre possession sont éligibles ou non à cette qualification. 

Même si cette certification peut vous aider dans certains appels d’offres, il faut avant tout évaluer la sensibilité de vos données. Il est fort probable que faire appel à un cloud qualifié pour traiter uniquement vos données e-invoicing soit largement suffisant, sans avoir à migrer la totalité de vos données. Comme nous le disions plus haut, vous pouvez également faire appel à des spécialistes comme SPS Commerce pour gérer votre facturation électronique. Votre entreprise n’aura ainsi pas à se soucier de la conformité et des aspects juridiques.

 

Nous restons en veille sur le sujet SecNumCloud, et l’évolution des lois sur la facturation électronique, notamment ViDA, qui va également déterminer l’importance de ces certifications relatives à la sécurité. La qualification est, pour l’heure, exigée uniquement en France, restez connectés pour ne rien louper de l’actualité !