Numspot étend sa certification ISO 27001 à sa plateforme de services managés cloud et IA et obtient la certification Hébergeur de Données de Santé. Ces deux qualifications intègrent désormais la production dans le périmètre audité et autorisent l’hébergement de données de santé à caractère personnel, ce qui fournit aux DSI et aux RSSI un socle certifié pour exploiter des charges réglementées.
Numspot annonce l’extension de son système de management de la sécurité de l’information aux environnements de production de ses services gérés cloud et IA, ainsi que l’obtention de la certification HDS. La plateforme couvre ainsi l’ensemble du cycle technique, depuis la chaîne de développement jusqu’aux charges exécutées en production, avec des contrôles organisationnels et techniques audités par un organisme certificateur accrédité. Ce périmètre certifié permet l’hébergement de workloads soumis à réglementation, y compris les données de santé.
Numspot disposait déjà d’une certification ISO 27001 sur ses processus internes et sur sa chaîne de développement. « On a commencé par certifier le périmètre de fabrication de nos offres, donc toute la chaîne de développement et l’ensemble des processus transverses de l’entreprise. Aujourd’hui, ce qui tombe en production est aussi certifié, d’un point de vue technique et organisationnel, et intégré dans le SMSI avec des plans de contrôle réguliers », précise Olivier Lavaux, RSSI de Numspot. Cette extension intègre donc les environnements opérationnels dans le périmètre audité, avec application des contrôles d’accès, des procédures de gestion des changements, de la journalisation de sécurité et des revues périodiques prévues par le SMSI.
Certification HDS et audit continu
Ce dispositif impose un rythme d’audit continu. Olivier Lavaux décrit une organisation placée sous contrôle permanent : « En 2025, à partir du mois de mars, Numspot est en audit toutes les trois semaines. Audits internes, audits obligatoires, audits préalables. Tout le temps, on se mesure, on identifie ce qu’il faut corriger et on déroule. » Cette cadence conditionne directement l’évolution des processus et des configurations techniques.
La certification Hébergeur de Données de Santé autorise Numspot à héberger et traiter des données de santé à caractère personnel pour les établissements, les éditeurs, les industriels et les acteurs de la e-santé. Cette qualification impose des exigences spécifiques en matière de résilience, de traçabilité, de gestion des incidents et de disponibilité des infrastructures.
Numspot exploite pour cela une architecture indépendante du fournisseur d’infrastructure physique certifié HDS. Olivier Lavaux décrit un mécanisme de portabilité inter-datacenters : « Si un datacenter HDS perd sa certification, on peut proposer au client de poser ses données dans un autre datacenter. C’est totalement transparent pour lui. Il n’y a pas de rupture de service, pas de recontractualisation. » Ce mécanisme repose sur une abstraction de l’infrastructure et sur des procédures de redéploiement déjà intégrées à la plateforme.
Journaux, preuves et investigation intégrés au modèle cloud
Numspot met à disposition des clients les journaux techniques et les informations nécessaires à leurs audits et à leurs investigations de sécurité. Olivier Lavaux précise : « Quand les clients viennent chez nous, on cherche à leur faciliter leur propre certification. Ça passe par nos référentiels, mais aussi par la mise à disposition de preuves. Une certification, c’est un apport de preuves. Il faut qu’on soit capables de leur fournir des journaux, des informations, tout ce qui leur permet d’investiguer plus vite en cas d’incident. » Ces éléments s’intègrent directement dans les processus de conformité des DSI et des RSSI.
Ce modèle repose également sur une isolation stricte des environnements clients. Olivier Lavaux détaille : « On assure que l’incident reste dans le conteneur du client. Il n’y a pas de propagation. Un client ne peut pas être contaminé par un autre, et même si quelque chose se passe chez Numspot, le client ne peut pas être contaminé. » Cette isolation repose sur la segmentation des environnements, la journalisation centralisée et des procédures de réponse à incident adaptées aux architectures mutualisées.
ISO 27036, maîtrise technique de la chaîne d’approvisionnement
Numspot applique également les exigences d’ISO 27036 pour encadrer la sécurité de ses relations fournisseurs. Olivier Lavaux justifie cette démarche par l’exploitation croissante de la supply chain dans les scénarios d’attaque : « La supply chain est une menace. Quand on regarde les incidents, c’est une source majeure d’attaque. On fait donc des analyses de risques dédiées à nos fournisseurs, on maîtrise les flux d’information et on évite toute interconnexion qui pourrait permettre une prise de contrôle à distance de notre système d’information. » Cette couverture inclut les prestataires impliqués dans l’exploitation de la plateforme.
Numspot s’appuie sur une architecture open source et infrastructure as code pour assurer la portabilité des charges. Olivier Lavaux résume l’approche : « On est infrastructure as code et open source. Numspot est portable. Le client peut redémarrer chez lui ou dans un autre cloud. Cette résilience est interne chez Numspot et elle bénéficie directement aux clients. » Les sauvegardes et les mécanismes de reprise font partie des briques natives de la plateforme, ce qui permet un redémarrage rapide des environnements applicatifs.
Actionnariat français et accès aux marchés régulés
Numspot s’appuie sur un actionnariat composé de la Banque des Territoires, de Docaposte, de Dassault Systèmes et de Bouygues Télécom. Olivier Lavaux indique que cette configuration protège l’entreprise contre les contraintes d’extraterritorialité et permet des réponses conjointes à certains marchés publics, notamment avec Docaposte sur les données de santé, tout en conservant les procédures d’attribution classiques.
Eric Haddad, président de Numspot, relie ces certifications à l’exploitation d’une plateforme hybride et portable destinée aux projets data, IA et applicatifs soumis à réglementation. Pour les DSI et les RSSI, ces qualifications se traduisent par un périmètre certifié en production, une isolation documentée des incidents, une portabilité inter-datacenters et un accès direct aux preuves nécessaires aux audits internes et réglementaires.
