Blog

Cloud Public et Cybersécurité : Réglementations et Certifications

Le marché du cloud public continue de s’accroître, celui des cyberattaques également.

  • L’émergence et la prise de maturité d’un cadre réglementaire de cybersécurité appliqué à l’échelle européenne entend standardiser la qualité des services fournis par les acteurs économiques européens.
  • La pluralité des certifications, quant à elles facultatives, viennent créer ou renforcer des exigences de sécurité permettant d’apporter une valeur ajoutée à un produit ou service.

Panorama du paysage réglementaire européen en matière de cybersécurité

 

 

RGPD

Texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne

RGPD impose la mise en place de processus par les organisations de consentement, de collecte et de transparence d’usage des données

 

Toute structure privée ou publique effectuant de la collecte et/ou du traitement de données

La CNIL propose un guide pour accompagner les acteurs concernés

 

 

Cybersecurity Act

 

 

  • Renforcer la coopération européenne en matière de cybersécurité & de résilience des produits & services numériques dès la phase de conception
  • Définition d’un cadre de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de certificatons

 

  • Les fabricants et fournisseurs de produits, services et processus des technologies de l’information et de la communication (TIC)
  • Organismes d’évaluation de la conformité

 

 

 

NIS2

Imposer des obligations strictes aux organisations en matière de gestion des risques, de signalement des incidents et de mise en place de mesures de sécurité

NIS2 remplace NIS et s’adresse à un nombre drastiquement supérieurs d’acteurs privés et régaliens, tout en spécifiant des exigences opérationnelles et fonctionnelles supplémentaires. Notons que NIS2 concerne les administrations, ce qui n’était pas le cas de NIS

 

 

 

 

L’ANSSI met à disposition sa solution MonEspaceNIS2 permettant de vérifier si votre organisme est concerné

 

DORA

Renforcer la résilience opérationnelle du secteur financier face aux cybermenaces, en matière de gestion des risques opérationnels liés aux TIC, de tests de pénétration et de partage d’informations

Secteur financier, y compris les banques, les compagnies d’assurance et les fonds d’investissement

 

eiDAS

Norme pour l’identification électronique et les services de confiance dans le marché unique européen, notamment en matière d’authenticité et de transparence

Toutes les organisations fournissant des services numériques publics dans un État membre de l’UE

 

 

Loi sur la cyber-résilience (CRA)

Protéger les consommateurs et les entreprises qui achètent ou utilisent des produits ou des logiciels avec un composant numérique

  • Règles harmonisées lors de la mise sur le marché de produits ou de logiciels comportant un composant numérique
  • De la planification en passant par la conception, le développement et la maintenance de ces produits

 

 

 

Les fabricants de matériel informatique et de logiciels

Panorama des principales certifications en matière de cybersécurité

Dénomination

Objectifs

Qui est concerné ?

 

ISO /IEC 27001

Établir, mettre en œuvre, faire fonctionner, surveiller, réviser, maintenir et améliorer un SMSI au sein d’une organisation

ISO/IEC 27001 est une référence généraliste incontournable ouvrant la porte à des certifications plus spécialisées

 

Tous les secteurs d’activité

 

ISO/IEC 27002

⚠️ISO/IEC 27002 n’est pas certifiante

Établir un cadre de bonnes pratiques pour la gestion des services informatiques

 

Tous les secteurs d’activité

 

 

SOC 2

⚠️ SOC 2 est un rapport d’audit et non une certification

Attester de la robustesse des contrôles de sécurité internes d’un fournisseur de services cloud, de la disponibilité des systèmes et de la conformité aux principes de traitement des données conformément aux normes du Trust Service Assurance (ATSA) de l’American Institute of Certified Public Accountants (AICPA)

 

 

Tous les secteurs d’activité

 

ITIL Foundation / ITIL Intermediate / ITIL Expert

Certifications basés sur les bonnes pratiques et principes de base fournis par le cadre ITIL

ITIL fournit des bonnes pratiques pour la gestion des services informatiques

 

Tous les secteurs d’activité qui gèrent des services informatiques

 

PCI-DSS

Protéger les informations sensibles des titulaires de cartes, telles que les numéros de carte de crédit, les dates d’expiration et les codes de sécurité

⚠️ Conformité obligatoire pour tous les acteurs concernés

Entreprises qui traitent, stockent ou transmettent des données de cartes de paiement

Panorama des principales certifications propres au cloud computing

Dénomination

Brève description

Acteurs concernés

 

ISO/IEC 27017

Complément de la norme ISO/IEC 27001

Établir des contrôles de sécurité spécifiques aux informations traitées et stockées dans le cloud (conformité, gouvernance, gestion des risques et incidents…)

 

Fournisseurs et clients de services cloud

 

ISO/IEC 27018

Complément de la norme ISO/IEC 27002

Établir des contrôles de sécurité spécifiques au traitement et stockage des données personnelles dans un environnement cloud

 

Fournisseurs et clients de services cloud

 

ISO/IEC 27701

Complément des normes ISO/IEC 27001 et ISO/IEC 27018

Établir un cadre pour la gestion des systèmes d’information basés sur le cloud (CSIC) en conformité avec les principes de protection de la vie privée

 

Tous les secteurs d’activité qui traitent des données personnelles

 

HDS

Attester que l’hébergeur cloud répond à des exigences strictes de sécurité et de confidentialité nécessaires pour héberger et traiter des données de santé à caractère personnel (DSP)

 

Fournisseurs de services cloud et organismes de santé

 

 

CSA STAR

⚠️ Il ne s’agit pas d’une certification

Programme d’évaluation de la sécurité de fournisseurs de services cloud avec trois niveaux de certification :

  • Niveau 1 : Attestation de conformité
  • Niveau 2 : Attestation d’audit
  • Niveau 3 : Attestation de validation continue

 

 

 

Fournisseurs de services cloud

 

SecNumCloud

Certification française de haut niveau qui atteste de la conformité aux exigences de sécurité du cloud définies par l’ANSSI. SecNumCloud reprend des éléments des normes ISO/IEC 27001, 27002, 27005, 27017 et 27018

 

Fournisseurs de services cloud

Certifications complémentaires

Dénomination

Objectifs

Qui est concerné ?

 

ISO/IEC 22301

Mettre en place un système de management de la continuité d’activité (SMCA) robuste. Cela inclue un SMSI résilient en plus de processus non-IT

 

 

Tous les secteurs d’activité

ISO/IEC 27005

Gestion des risques dans un contexte cyber

Tous les secteurs d’activité

ISO/IEC 27031

Préparation des TIC à la continuité d’activité

Tous les secteurs d’activité

 

ISO/IEC 27033

Sécurité des dispositifs réseau, la gestion de la sécurité des réseaux, les applications/services réseau et ses utilisateurs, ainsi que la sécurité des informations transmises par les liaisons de communication

 

Tous les secteurs d’activité

ISO/IEC 27701

Compléter un SMSI existant avec des contrôles spécifiques liés à la protection de la vie privée

Tous les secteurs d’activité

 

ISO/IEC 38500

Établir des principes et un cadre pour la gouvernance d’entreprise des technologies de l’information (GEITI) au sein d’une organisation

 

 

Tous les secteurs d’activité

ISO/IEC 27001 : La base généraliste et valorisante de référence

6 thèmes​

Concernant les axes suivants

La gouvernance de la sécurité de l’information

Politique de sécurité de l’information et processus de revue​s

La gestion des risques liés à la sécurité de l’information

Identification des actifs de l’information, l’évaluation des risques, la mise en œuvre de contrôles et la surveillance des risques

La protection des actifs de l’information

Sécurité physique, la sécurité logique, la sécurité des données et la sécurité des applications​

La gestion des accès à l’information

Gestion des identités et des habilitations, la gestion des mots de passe et gestion des accès physiques.​

La continuité des activités

PCA, formation du personnel et simulation d’incidents​

La gestion des ressources

Formation du personnel, les outils et les technologies de sécurité.​

La certification ISO 27017 : Une bonne réponse aux problématiques de sécurité ?

Tout d’abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, …), mais de la compléter :

En précisant les mesures de sécurité existantes dans la 27002 et en distinguant l’application de cette mesure soit :

  • vers le fournisseur Cloud
  • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
  • vers les 2 parties

En ajoutant des mesures de sécurité manquantes de la 27002 comme :

  • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
  • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
  • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces…)

Si la norme ISO/IEC 27017 n’est pas beaucoup plus technique que les autres normes de la série 2700x, elle couvre bien l’ensemble des problématiques de sécurité.

SecNumCloud : L'ambition nationale

En réponse d’une part à la croissance exponentielle de l’adoption du cloud en France, mais également du nombre de cyberattaques subies par tout organisme privé ou régalien, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à crée le visa de sécurité « SecNumCloud », qui intègre des éléments de certification des normes ISO/IEC 27001, 27002, 27005, 27017 et 27018 en plus d’exigences fonctionnelles et opérationnelles liées à la sécurité des systèmes d‘information.

Souveraineté européenne des services cloud : L’argument phare du référentiel

SecNumCloud, depuis sa dernière mise à jour 3.2 déployée en mars 2022, interdit le recours à des services de collecte, traitement et stockage de données non-européens. L’intérêt est de garantir la seule application des lois européennes, ce qui exclue des textes tels que le Patriot Act ou le Cloud Act américain.

Une qualification de service et non d’organisme

SecNumCloud s’applique à l’échelle des services délivrés. Concrètement, une entreprise proposant des services PaaS et SaaS pourra faire qualifier par exemple uniquement son offre SaaS. Bien évidemment, l’ensemble des briques technologiques exploitées, qu’elles soient logicielles, physiques ou virtuelles, devront être conformes aux exigences de sécurité.

Une certification valorisante mais exigeante

Obtention de la certification SecNumCloud est un processus rigoureux qui exige des candidats une implication importante et une expertise approfondie en matière de cybersécurité. Le référentiel de sécurité comprend plus de 200 exigences couvrant tous les aspects de la sécurité du cloud, depuis la sécurité des infrastructures jusqu’à la gestion des incidents. En voici quelques-unes :

  • Cloisonnement et surveillance des flux entre prestataire et client​

Chapitre « 13.2. Cloisonnement des réseaux » «Chapitre 12.14. Surveillance des flux sortants de l’infrastructure »​

  • Distinction et protection des interfaces d’administration utilisées par le prestataire et celles mises à disposition des clients​

Chapitre « 9.6. Accès aux interfaces d’administration »​

  • Séparation des équipements d’administration des équipements de travail​

Chapitre « 12.12. Administration »​

  • Gestion consciente des privilèges d’admin​

Chapitres « 7.1. Sélection des candidats » « 7.2. Conditions d’embauche »​

  • Souveraineté européenne: Stockage et sauvegarde des données

Chapitres « 15.2. Sauvegarde des informations » « 19.2. Localisation des données »​

Les candidats à la certification SecNumCloud doivent subir un audit approfondi mené par des auditeurs accrédités par l’ANSSI. Cet audit permet de vérifier la conformité du service cloud aux exigences du référentiel et d’identifier les éventuels points d’amélioration.

Malgré la complexité du processus de certification, SecNumCloud représente un atout majeur pour les entreprises et les organisations françaises. Seuls une poignée d’entreprises françaises ont réussi à faire qualifier certains de leurs services.

EUCS : Le projet de standardisation européen controversé

La question de la souveraineté numérique fait couler beaucoup d’encre au sein de l’Union Européenne et de fait, amène des propositions techniques, économiques et juridiques en faveur de cette philosophie qui a pour objectif de prémunir le marché européen du cloud computing contre les politiques protectionnistes principalement américaines et chinoises.

L’objectif d’EUCS, projet porté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), est d’établir un cadre de certification harmonisé pour les services cloud en Europe, afin de garantir un niveau de sécurité et de protection des données homogène dans l’ensemble des États membres. EUCS à pour ambition de proposer 4 niveaux de conformité :

  • Niveau basique
  • Niveau substantiel
  • Niveau élevé
  • Niveau élevé+

Les inquiétudes des États membres

EUCS, à l’instar de SecNumCloud, se caractérise par sa volonté de renforcer la souveraienté des données collectées, traitées et stockées européennes. Concrètement, le plus haut niveau du schéma interdirait tout lien avec tout service numérique cloud proposé par tout acteur non-européen. L’objectif étant de s’affranchir des lois extra-territoriales dont les principes peuvent porter atteinte à la confidentialité et la sécurité des données concernées.

Bien que certains pays tels que la France, l’Italie ou l’Espagne soient pour un durcissement des politiques orienté vers la souveraineté numérique européenne, le projet EUCS suscite des inquiétudes chez certains États membres, notamment les Pays-Bas, la Pologne ou encore l’Irlande. La principale critique porte les dangers d’une politique protectionniste qui pourrait entacher les relations entretenues avec des acteurs étatiques non-européens et réclament de fait « plus de souplesse ». Le projet EUCS, en plus d’avoir pour ambition de répondre à des enjeux de cybersécurité, soulève  avant tout des enjeux politiques, juridiques et économiques.

La France se place quant à elle en faveur du principe de souveraineté numérique des données les plus sensibles. Cette volonté se manifeste notamment par une prise de position publique du CIGREF, regroupant les DSI des grandes entreprises françaises, qui dénonce la direction que prend le projet EUCS depuis sa dernière version notamment à travers un courrier mettant en avant la mise en danger des ambitions « d’autonomie stratégique et technologique de l’Union européenne ». Se placent dans nos rangs de grandes groupes français tels qu’Orange, OVHCloud ou encore Airbus, mais également l’Allemagne, à travers sa plus grande société allemande et européenne de télécommunications, Deutsche Telekom.

Vers un remaniement du texte ?

Face aux critiques des États membres, l’ENISA a ouvert une consultation publique afin de recueillir les avis des parties prenantes. Il est probable que le texte d’EUCS fasse l’objet d’un remaniement pour tenir compte des préoccupations exprimées, notamment au niveau des mesures d’ordre juridique. Le principe d’extraterritorialité pourrait être abordé d’une manière différente, de sorte à apporter plus de souplesse et de marge de manœuvre, au détriment cependant de son caractère strict. Les mesures techniques et fonctionnelles ne sont quant à elle pas remises en question.

Prise de contact Nuabee

65, rue Hénon
69004 Lyon
France
Demande de devis - page accueil en haut à droite
Comment nous avez-vous connu ?
Quel est le type de projet à adresser ?