Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt

Use this file to discover all available pages before exploring further.

Mapping SecNumCloud — Gaps documentés

Position SnakySec V1

SecNumCloud n’est PAS visé en V1. Le référentiel ANSSI SecNumCloud cible les fournisseurs de services cloud servant des administrations ou des Opérateurs d’Importance Vitale (OIV) qui le demandent contractuellement. Pour SnakySec MSSP servant des PME France/Europe (ICP V1), aucune demande SecNumCloud reçue ni anticipée à court terme. Démarche reportée Phase 3 (~20+ clients, premier client OIV ou banque/santé). Ce document liste les gaps connus par rapport à SecNumCloud 3.2 pour être transparent sur ce qui manquerait si un client le demandait.

Référentiel SecNumCloud 3.2 — Chapitres

Chapitre 5 — Politique de sécurité

ExigenceStatut SnakySec V1Effort comblement
5.2 — Politique de sécurité écrite et approuvée✅ Couvert0j (déjà fait)
5.3 — Politique de sécurité applicable aux clients⚠️ Partielle2j formalisation client-facing

Chapitre 6 — Organisation de la sécurité

ExigenceStatut SnakySec V1Effort comblement
6.1 — Rôles et responsabilités sécurité✅ V1 (solo)N/A
6.2 — Indépendance entre sécurité et opérations❌ Solo founderRecrutement RSSI dédié Phase 3
6.3 — Comité sécurité❌ Solo founderComité formel Phase 3
6.4 — Relations avec autorités✅ PartielCSIRT-FR via runbook IR-02, formel Phase 1+

Chapitre 7 — Sécurité du personnel

ExigenceStatut SnakySec V1Effort comblement
7.1 — Vérification d’antécédents❌ Solo founderPhase 1 dès recrutement
7.2 — Habilitation Confidentiel-Défense❌ Non requis V1Si client OIV demande, Phase 3
7.3 — Formation continue❌ Solo informelle5j/an formel Phase 1

Chapitre 8 — Gestion des actifs

ExigenceStatut SnakySec V1Effort comblement
8.1 — Inventaire actifs✅ Couvert0j (02-asset-inventory.md)
8.2 — Classification⚠️ PartielDiffusion restreinte sur 01-keyholders, formalisation 2j

Chapitre 9 — Contrôle d’accès

ExigenceStatut SnakySec V1Effort comblement
9.1 — RBAC formel✅ CouvertRBAC granulaire en place
9.2 — Authentification multi-facteur✅ CouvertYubiKey + Entra MFA strict
9.3 — Revue accès trimestrielle⚠️ PartielAccess review feature en place, cadence formelle Phase 2

Chapitre 10 — Cryptographie

ExigenceStatut SnakySec V1Effort comblement
10.1 — Politique cryptographique✅ PartielAlgos documentés (AES-256-GCM, Ed25519, TLS 1.3), politique formelle Phase 2
10.2 — Gestion des clés (HSM ou équivalent)⚠️ PartielVault Shamir 5/3 V1, HSM physique Phase 3
10.3 — Algorithmes ANSSI-validés (RGS)✅ CouvertAES-256, RSA-4096, Ed25519 conformes RGS

Chapitre 11 — Sécurité physique

ExigenceStatut SnakySec V1Effort comblement
11.1 — Locaux sécurisés⚠️ PartielOVH datacenter ANSSI-HSV, mais SnakySec n’a pas de locaux propres V1
11.2 — Contrôle d’accès physique✅ OVHHérité du fournisseur OVH (certifié ISO 27001)

Chapitre 12 — Sécurité opérationnelle

ExigenceStatut SnakySec V1Effort comblement
12.1 — Procédures opérationnelles documentées✅ Couvertdocs/runbooks/* + docs/dr/runbooks/*
12.2 — Séparation environnements (dev/test/prod)✅ CouvertPré-prod local, prod VPS, isolation stricte
12.3 — Sauvegarde✅ Couvert03-backup-strategy.md
12.4 — Journalisation et surveillance✅ CouvertAudit log scellé Ed25519 + Sentry

Chapitre 13 — Sécurité communications

ExigenceStatut SnakySec V1Effort comblement
13.1 — Sécurité réseau✅ CouvertTLS partout, ufw firewall, Docker data-net internal
13.2 — Transfert d’information✅ CouvertChiffrement bout-en-bout

Chapitre 14 — Acquisition, développement, maintenance

ExigenceStatut SnakySec V1Effort comblement
14.1 — Sécurité dans le développement✅ CouvertCode review, tests CI, security headers
14.2 — Tests de sécurité⚠️ PartielTests unitaires + scan dépendances, pentest annuel Phase 1
14.3 — Code source vérifié et signé❌ Non V1Commits signés Phase 1, supply chain attestation Phase 3

Chapitre 15 — Relations avec sous-traitants

ExigenceStatut SnakySec V1Effort comblement
15.1 — Politique relations fournisseurs⚠️ PartielOVH, Scaleway, Microsoft listés, audit fournisseur Phase 2
15.2 — Surveillance des sous-traitants❌ Non V1Reporting trimestriel Phase 2

Chapitre 16 — Gestion des incidents

ExigenceStatut SnakySec V1Effort comblement
16.1 — Plan de gestion des incidents✅ Couvertincident-response/01-detection-triage.md
16.2 — Notification incidents✅ CouvertCSIRT-FR + CNIL templates
16.3 — Apprentissage des incidents✅ CouvertPost-incident reports + RETEX

Chapitre 17 — Continuité d’activité

ExigenceStatut SnakySec V1Effort comblement
17.1 — Plan de continuité d’activité✅ CouvertTout docs/dr/
17.2 — Tests réguliers✅ Couverttest-schedule.md Q1-Q4
17.3 — RTO/RPO formalisés✅ Couvert04-rto-rpo-matrix.md

Chapitre 18 — Conformité

ExigenceStatut SnakySec V1Effort comblement
18.1 — Identification obligations légales✅ CouvertNIS2, RGPD, LCEN dans 00-policy.md §3
18.2 — Audit indépendant annuel❌ Non V1Phase 2 (~5-10k€/an)
18.3 — Certification ISO 27001❌ Non V1Phase 2 (~15-25k€)

Synthèse

  • Couverts complètement : 18/35 exigences (51%)
  • Partiellement couverts : 9/35 exigences (26%)
  • Non couverts V1 : 8/35 exigences (23%) — principalement liés au statut solo founder + absence audit externe

Effort estimé pour atteindre SecNumCloud Essential (Phase 3)

  • Audit externe annuel : ~5-10k€/an
  • Recrutement RSSI ou DPO partagé : ~300€-500€/mois (cabinet) ou ~50k€/an (employé temps plein)
  • Pentest annuel : ~5-10k€
  • Locaux sécurisés (si requis) : ~1-2k€/mois
  • Démarche de qualification ANSSI : ~30-50k€ + 6-12 mois calendrier
Total Phase 3 estimé : ~80-150k€ première année + ~20-40k€/an récurrent. Justifié uniquement avec >100k€ MRR ou client OIV signant à >150k€/an.

Position commerciale honnête

“SecNumCloud n’est pas dans notre roadmap V1 (posture sales-ready PME France régulée NIS2). Démarche envisagée Phase 3 si demande client OIV/banque/santé formelle. Notre runbook DR couvre 51% des exigences SecNumCloud complètement, transparence totale sur les gaps documentée dans ce fichier.”
VersionDateAuteur
1.02026-04-26Nicolas Schiffgens