Mettre en œuvre un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 est décidé par de plus en plus d’entreprises privées et publiques. Pour répondre à une exigence légale, par exemple pour le cas des hébergeurs de données de santé ou bien prouver à des clients potentiels qu’un cadre de cybersécurité est en place, par exemple pour les fournisseurs de service Cloud. Le travail pour être certifié dépend de plusieurs facteurs : maturité en cybersécurité, taille et complexité de l’entité, niveau de formalisation des processus, implication de la direction et des métiers, documentation existante. Plusieurs démarches de conformité s’inspirent de l’ISO 27001 comme la qualification SecNumCloud de l’ANSSI en France.
La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL.
La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.
Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5ou encore du schéma de certification européen introduit par le CyberSecurity Act. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.
Les FSN (Fournisseurs de Service Numérique) correspondent aux entreprises de plus de 50 salariés ou qui réalisent plus de 10 millions de chiffre d’affaire et qui ont des activités dans le domaine du Cloud, des moteurs de recherches et des « market places ». Au sens de la loi européenne, le « market place » ou « place de marché en ligne » est un terme très vaste qui regroupe des activités comme le traitement de transactions, l'agrégation de données, le profilage d'utilisateurs, les magasins d'applications en ligne, la distribution numérique d'applications ou de logiciels émanant de tiers.
