Structure du référentiel

Le référentiel s’appuie fortement sur l’ISO 27001 en reprenant les catégories de mesures de sécurité :

• Politique de sécurité gestion du risque.
• Organisation de la sécurité.
• Sécurité des ressources humaines.
• Gestion des actifs, dont la cartographie des SI est une composante fondamentale.
• Contrôle des accès et gestion des identités.
•  Cryptologie.
• Sécurité physique.
• Sécurité liée à l’exploitation.
• Sécurité des communications.
• Acquisition développement et maintenance de systèmes d’information.
• Relation avec les tiers.
• Réponse aux incidents de sécurité.
• Continuité d’activité.
• Conformité.

Les exigences supplémentaires détaillées dans SecNumCloud sont les suivantes :

• Convention de service.
• Localisation des données.
• Régionalisation.
• Fin de contrat.
• Protection des données à caractère personnel.

Exigences

Tous les points abordés dans les exigences du référentiel doivent être mis en œuvre pour obtenir la qualification.

Par exemple, pour respecter la clause 18.2 (revue indépendante de la sécurité de l’information), le prestataire de Cloud doit :

• Documenter et mettre en œuvre un programme d’audit sur trois ans qui couvre la configuration des serveurs et des équipements réseaux du périmètre (par échantillonnage), le test d’intrusion des accès externes, l’audit du code source des fonctionnalités de sécurité en cas de développement interne.
• Inclure dans ce programme un audit annuel réalisé par un PASSI (prestataire d’audit de sécurité des systèmes d’information).

Source : ANSSI

Recommandations

L’annexe 2 du référentiel liste des recommandations destinées aux clients des services Cloud comme :

• La participation possible de l’ANSSI à la définition des cahiers des charges pour les entités publiques et les OIV.
• La prise en compte des recommandations de la CNIL (recommandation pour les entreprises qui envisagent de souscrire des services de Cloud).