Dans un paysage numérique en constante évolution, où la sécurité des données est devenue un enjeu majeur, sur quels critères choisir les fournisseurs de services cloud les plus fiables ? Zoom sur 4 labels essentiels pour garantir la sécurité des systèmes d’information externalisés sur le cloud.
La qualification SecNumCloud
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ne délivre la prestigieuse qualification SecNumCloud qu’aux fournisseurs de services cloud répondant aux critères les plus stricts en matière de sécurité. Qu’elles soient technologiques, organisationnels ou juridiques, on dénombre plus de 700 exigences listées dans le référentiel de l’ANSSI. En accordant son visa de sécurité, l’ANSSI atteste ainsi que les services cloud sont conçus et exploités de manière à protéger efficacement les systèmes d’information contre les menaces cyber et les ingérences étrangères. La démarche de qualification d’un service cloud par l’ANSSI est un processus long et engageant, qui nécessite habituellement entre 18 et 24 mois. SecNumCloud est ensuite accordé pour une durée de trois ans, et donne lieu à un audit de surveillance annuel.
Pour les organisations privées comme publiques, choisir un cloud qualifié SecNumCloud garantit les meilleures pratiques concernant :
- l’hébergement des données sensibles
- la sécurité des échanges de données
- la gestion des risques de sécurité
- l’immunité aux lois extraterritoriales étrangères
ℹ️ Bien que d’autres pays européens se soient dotés de leurs propres certifications nationales en matière de sécurité du cloud (C5 en Allemagne ou encore ENS en Espagne), la qualification SecNumCloud est considérée comme la plus exigeante en termes d’isolation des opérations. Le référentiel SecNumCloud pourrait ainsi correspondre au niveau de certification le plus élevé d’EUCS, le futur schéma européen de certification des services cloud.
La certification HDS (hébergeur de données de santé)
La certification HDS a pour vocation de renforcer la protection des données de santé des Français et de construire un environnement de confiance autour de l’eSanté et du suivi des patients. Mise en place par l’Agence du numérique en santé (ANS), elle vise toutes les entités publiques ou privées qui hébergent, exploitent ou réalisent des sauvegardes des données de santé. Cette certification atteste que le fournisseur de services est en mesure de garantir la sécurité et la confidentialité des données de santé conformément à la norme ISO 27001 (voir infra) et à la réglementation en vigueur, notamment le règlement européen sur la protection des données (RGPD) et la loi française sur la protection des données de santé (Loi Informatique et Libertés).
Suivant leur domaine d’activité, les organisations et/ou leur hébergeur peuvent obtenir un certificat pour l’un des deux périmètres :
- « hébergeur d’infrastructure physique » pour les activités de mise à disposition d’espaces physiques et d’équipements pour héberger les serveurs et l’infrastructure matérielle de leurs clients.
- « hébergeur infogéreur » pour les activités de gestion / administration des infrastructures virtuelles et logicielles, d’administration / exploitation des données ou encore de leur sauvegarde externalisée.
ℹ️ Une refonte en cours du référentiel HDS va permettre de renforcer les exigences de souveraineté, en termes de localisation des données et de transparence sur les éventuels transferts hors de l’Union européenne.
La certification ISO 27001
Cette norme internationale définit les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l’information (SMSI) capable d’assurer la confidentialité, l’intégrité et la disponibilité des informations. Elle donne lieu à un audit mené par un tiers indépendant. La phase 1 de l’audit vise à évaluer si l’organisation a mis en place les prérequis, comme la documentation du SMSI, la politique de sécurité de l’information et l’appréciation du risque. Il permet d’identifier les lacunes ou les domaines nécessitant des améliorations. Plus approfondi, l’audit de phase 2 évalue l’efficacité du SMSI, en particulier la mise en œuvre des contrôles de sécurité, la gestion des risques et les processus de gestion de la sécurité de l’information. La norme ISO 27001 prévoit ainsi 114 contrôles de sécurité.
Attribuée pour une durée de trois ans, la certification ISO 27001 est confirmée par des audits de surveillance annuels.
ℹ️ La conformité à la norme ISO 27001 est considérée comme un socle qui sert de base pour d’autres référentiels, par exemple SecNumCloud ou HDS.
Le rapport ISAE 3402
Créé par l’International Auditing and Assurance Standards Board (IAASB), ISAE 3402 est une norme internationale d’assurance destinée aux prestataires de services (comme les fournisseurs de services cloud ou les centres de données) qui veulent démontrer à leurs clients la fiabilité des contrôles internes de sécurité qu’ils ont mis en place. Cette norme aboutit à un rapport d’assurance produit par un auditeur externe, qui évalue les contrôles internes de l’organisation de façon spécifique, en fonction des services fournis par l’entreprise.
ℹ️ Il existe deux types de niveaux de contrôle :
- Un rapport de type I, attestant de l’implémentation d’un contrôle interne adapté.
- Un rapport de type II, attestant de l’efficacité opérationnelle du contrôle interne, avec une évaluation réalisée sur une période d’observation de 12 mois.
- Une norme fournit des spécifications et des critères à respecter pour garantir la qualité, la sécurité, l’interopérabilité ou d’autres aspects d’un produit, service ou système. Les normes sont établies par des organismes nationaux ou internationaux de normalisation.
- La certification est basée sur une analyse de conformité à un référentiel et sur des tests de pénétration réalisés par un évaluateur tiers à l’instant T.
- La qualification est plus exigeante encore. Via un audit approfondi, elle atteste de la conformité des produits aux exigences règlementaires, techniques et de sécurité, sur le long terme. À travers le visa SecNumCloud, l’ANSSI apporte des garanties aux utilisateurs de cloud.