Cloud secu

La France veut une certification pour la sécurité du Cloud

L’agence nationale de la sécurité des systèmes d’information met en ligne un référentiel qui doit permettre de qualifier le niveau de sécurité des prestataires de Cloud. Couvrant avant tout les besoins de l’Etat, le document peut aussi être utilisé en entreprise comme guide de bonnes pratiques.

« L’approche consistant à contractualiser au cas par cas la sécurité dans chaque projet de mise en nuage montre ses limites », explique l’Anssi. D’où la volonté de l’Agence nationale de la sécurité des systèmes d’information de mettre au point un référentiel permettant d’auditer et de certifier la sécurité des prestataires de Cloud. Un référentiel qui a vocation à servir dans un premier temps les besoins de l’Etat, mais que pourront ré-exploiter les entreprises.

C’est ce document d’une quarantaine de pages que l’Anssi vient de publier sur son site, en appelant les internautes à le commenter. Ces derniers ont jusqu’au 3 novembre pour transmettre leurs remarques, suite à quoi l’Anssi prévoit de procéder à une phase expérimentale « permettant de tester en conditions réelles l’applicabilité de ce référentiel ». L’agence invite les prestataires candidats à cette expérimentation à la contacter. Et précise que le futur référentiel a vocation à converger avec le label « Secure Cloud », créé dans le cadre du volet Cloud du plan de la Nouvelle France Industrielle, porté par Arnaud Montebourg.

Stockage et traitement en France

Au sein de 14 chapitres, le référentiel de l’Anssi répertorie les exigences et recommandations que les prestataires de Cloud (Saas, Iaas et Paas) devront respecter pour être qualifiés. Et propose deux niveaux de sécurité : le premier, dit élémentaire, est conforme aux impératifs propres à la politique de sécurité des systèmes d’information de l’Etat (PSSIE), tandis que le second, dit standard, permet d’assurer le traitement des données de niveau diffusion restreinte (le niveau le plus faible en matière d’information classifiée). Le référentiel prévoit notamment que le stockage et le traitement des données doivent être effectués sur le territoire. Le prestataire doit également proposer un support de premier niveau francophone et installé dans l’Hexagone, revoir au moins une fois par an sa politique de gestion des identités et de contrôle des accès ou encore revalider, à la même fréquence, les droits d’accès des utilisateurs. Cette revalidation est même trimestrielle pour les comptes à privilèges élevés, selon la version du référentiel actuellement disponible. De même, l’Anssi prévoit une généralisation du chiffrement (flux et stockage des données), y compris au niveau élémentaire.

La sortie de ce référentiel en version définitive pourrait ouvrir la porte à une utilisation du Cloud public par l’Etat, utilisation pour l’heure proscrite mais qui pourrait avoir un rôle dans le plan d’économies que doit mettre en œuvre Jacques Marzin (économiser 25 à 40 % sur les dépenses externes, soit sur une enveloppe de 2 milliards par an). Fin mai dernier, dans nos colonnes, le directeur de la Disic (Direction interministérielle des systèmes d’information et de communication) expliquait : « Nous examinons avec nos collègues de l’ANSSI si cette certification est de nature à réviser notre politique consistant pour l’heure à proscrire tout recours au Cloud public, pour des raisons de sécurité. Avoir cette option pourrait s’avérer intéressant, pour du débordement, la montée en charge de projets ou comme solution transitoire, afin de libérer de l’espace dans les datacenters en déplaçant dans le Cloud des applications peu critiques ».

A lire aussi :

Pilotage des SI de l’Etat : Jacques Marzin et la Disic prennent la main

 

Reynald Fléchaux

Auteur: Reynald Fléchaux

Directeur des rédactions B2B de NetMediaEurope en France

Mon article vous a plu ?
Restez-connectés en vous inscrivant à nos newsletters

Reynald Fléchaux Reynald Fléchaux Reynald Fléchaux

Cloud : Accélérateur de Business

Tout savoir sur les atouts Cloud pour la DSI !
Accédez au site Cloud : Accélérateur de Business et découvrez les dossiers et articles dédiés au Cloud, visualisez les vidéos interviews et témoignages clients et téléchargez gratuitement les études et livres blancs.

avast! Antivirus

Près de 200 millions de personnes font confiance à avast! pour protéger leurs appareils - plus que tout autre antivirus Et il devient encore meilleur. Téléchargez- le maintenant !

Derniers commentaires




0 replies to La France veut une certification pour la sécurité du Cloud

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

X
Connexion S'enregistrer

Connectez-vous pour accéder à tout notre contenu.
Si vous n'avez pas encore de compte,
S'enregistrer GRATUITEMENT

perdu ?
Connexion S'enregistrer

Enregistrez-vous gratuitement pour avoir un accès illimité à tout notre contenu.

Vérifiez votre email

Merci de votre enregistrement. Nous venons de vous envoyer un email contenant un lien pour confirmer votre adresse.
(si vous ne recevez pas l'email dans quelques minutes, vérifiez votre boîte spam).

Oh, vous avez perdu votre mot de passe ?

Pour recevoir votre mot de passe, entrez l'adresse email utilisée pour vous inscrire.

Ou essayer de vous connecter à nouveau.