Le référentiel SecNumCloud

blog-06.jpg

Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5 (cloud computing compliance criteria catalogue) ou encore du schéma de certification européen. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.

 

Structure du référentiel

Le référentiel s’appuie fortement sur l’ISO 27001 en reprenant les catégories de mesures de sécurité :

  • Politique de sécurité gestion du risque.
  • Organisation de la sécurité.
  • Sécurité des ressources humaines.
  • Gestion des actifs.
  • Contrôle des accès et gestion des identités.
  •  Cryptologie.
  • Sécurité physique.
  • Sécurité liée à l’exploitation.
  • Sécurité des communications.
  • Acquisition développement et maintenance de systèmes d’information.
  • Relation avec les tiers.
  • Réponse aux incidents de sécurité.
  • Continuité d’activité.
  • Conformité.

Les exigences supplémentaires détaillées dans SecNumCloud sont les suivantes :

  • Convention de service.
  • Localisation des données.
  • Régionalisation.
  • Fin de contrat.
  • Protection des données à caractère personnel.

Exigences

Tous les points abordés dans les exigences du référentiel doivent être mis en œuvre pour obtenir la qualification.

Par exemple, pour respecter la clause 18.2 (revue indépendante de la sécurité de l’information), le prestataire de Cloud doit :

  • Documenter et mettre en œuvre un programme d’audit sur trois ans qui couvre la configuration des serveurs et des équipements réseaux du périmètre (par échantillonnage), le test d’intrusion des accès externes, l’audit du code source des fonctionnalités de sécurité en cas de développement interne.
  • Inclure dans ce programme un audit annuel réalisé par un PASSI (prestataire d’audit de sécurité des systèmes d’information).

visasecu 2017 logo fr

Source : ANSSI

Recommandations

L’annexe 2 du référentiel liste des recommandations destinées aux clients des services Cloud comme :

  • La participation possible de l’ANSSI à la définition des cahiers des charges pour les entités publiques et les OIV.
  • La prise en compte des recommandations de la CNIL (recommandation pour les entreprises qui envisagent de souscrire des services de Cloud).

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: Cloud ANSSI CCSP CCSK Conformité SecNumCloud