3 documents à connaitre sur la Sécurité du Cloud

5 janvier 2017/Emilie Ravet

La sécurité du Cloud est une préoccupation pour de nombreuses entreprises qui souhaitent y migrer leurs données et applications. L'occasion d'évoquer avec vous, 3 documents incontournables autour de la sécurité du Cloud.

#1 Le référentiel SecNumCloud de l'ANSSI

L’ANSSI est l’Agence Nationale de la Sécurité des Systèmes d’Information, elle tient le rôle d’autorité pour tous les systèmes d’informations à l’échelle nationale. L’ANSSI est également chargée de proposer, faire appliquer et contrôler l’application de ces mêmes règles, surtout quand cela concerne les réseaux de l’état et les OIV (Opérateur d'importance vitale).

Les certifications* et les qualifications* que l’Agence délivre ont pour but final de créer les conditions idéales pour que le développement des sociétés de l’information s’effectue en  toute sérénité.

Récemment, l’ANSSI a publié un nouveau référentiel SecNumCloud, dans lequel on retrouve des liens de parenté avec le référentiel ISO27001, qui vise à couvrir les services Informatique en cloud et vise également la qualification de prestataires qui proposent ce genre de solutions. Ce référentiel SecNumCloud évolue sur deux niveaux de qualifications :

  • Le niveau Essentiel, intervient seulement dans les cas où l’entreprise subit un incident de sécurité avec des conséquences limitées pour le client.
  • Le niveau Avancé, intervient seulement dans les cas où l’entreprise subit un incident de sécurité avec des conséquences importantes pour le client.

*La certification est un label qui atteste de la conformité d’un produit, qu’il soit logiciel ou matériel (sur une échelle de sécurité donnée).

*Les qualifications sont attribuées à des produits de sécurité informatique mais peuvent aussi être attribuées à des prestataires de service (qualifiés dans la sécurité de l’information).

#2 Le référentiel ISO27001

Le référentiel ISO27001 décrit et expose les exigences qui touchent aux systèmes de management de sécurité des informations (SMSI) et à leur mise en place. Les SMSI recensent les systèmes de sécurité dans un périmètre défini afin de garantir la protection des actifs de l’organisme.

L’ISO27001 est destiné à tous les types d’organismes qu’ils soient administration, établissements financiers, ou même ONG. Son objectif principal n’est pas la certification comme le label de l’ANSSI, il vise d’abord à protéger les systèmes informatiques de toute intrusion ou sinistre, mais également à préserver les fonctions et informations de l’organisme, de toutes pertes, vols et altérations.

Cette norme ISO27001 regroupe un certain nombre de fondamentaux qui sont répartis en 39 objectifs, eux-mêmes décomposés en 133 mesures de sécurité et relatifs à 11 domaines qui couvrent la politique de sécurité, le contrôle des accès, ou la sécurité du personnel…

La certification ISO27001 permet de démontrer aux clients que les pratiques et les process mis en place sont efficaces et sont également cohérents en matière de sécurité des données et des applications. Elle est également une garantie temporelle pour la sécurité acquise, en effet, l’entreprise bénéficiaire fera l’objet d’un audit externe tous les six mois qui vérifiera le traitement des plaintes, l’état d’avancement des activités planifiées, la viabilité du SMSI…

L’ISO27001 certifie un partenariat de confiance solide, composé d’un pilotage sérieux et rigoureux ainsi que des mesures de sécurité bien spécifiques.

Sachez tout de même que l’implémentation d’un SMSI est un plus non négligeable pour les bénéficiaires, car la certification est délivrée par un organisme indépendant (plus apprécié par les parties prenantes)

#3 Le référentiel de l'ASIP Santé : Hébergement de données de santé

L’ASIP Santé (Agence des Systèmes d’Information Partagés de santé) propose un référentiel crée par les pouvoirs publics voulant instaurer un système d’agence d’état référente et fédératrice de la e-santé en France. Elle a pour rôle principal de développer des systèmes d’information partagés dans le secteur médico-social et celui de la santé.

Mais elle ne se contente pas de développer elle-même ces systèmes, elle a aussi pour rôle d'accompagner toutes formes de démarche autour de ce sujet au sein du territoire national. Ces référentiels peuvent concerner les domaines de la sécurité, de l’identification mais aussi, de l’interopérabilité.

L’ASIP Santé a également pour objectif de mieux répondre aux attentes et besoins des clients de manière opérationnelle, pour atteindre le niveau d’excellence que requiert les missions qu’elle effectue. Pour cela, la qualité du management est encadrée par la norme ISO 9001 en lien avec les exigences du Label, ces deux références sont connues pour l’accueil et la relation des services publics.

La finalité pour l’ASIP Santé est de mettre en place une certification pour les entreprises qui hébergent des données de santé (au niveau fourniture d’environnement d’hébergement seul comme en environnement d’hébergement de la couche applicative).

Cette certification est obligatoire pour les établissements de santé publics ou privés,  les installations autonomes de chirurgie esthétique et les groupements de coopération sanitaire, elle doit être renouvelée tous les 4 ans pour garder sa légitimité.

Ces documents sont des références qui permettent d'apporter un niveau de garantie supplémentaire dans le choix de votre prestataire Cloud, ces labels et certifications ne constituent pas à eux seuls, la solution pour créer un Cloud de confiance.

 

New Call-to-action

Emilie Ravet
À propos de Emilie Ravet : Emilie est responsable Marketing en charge de la publication des articles du blog.

À lire ensuite

blur-coffee-connection-2041383

API : entre opportunités et insécurité

De plus en plus d’entreprises s’appuient sur des API publiques, partenaires ou privées. Objectif : gagner en...

adults-analysis-brainstorming-1661004

Pourquoi la culture DevOps peut-elle être bénéfique à votre organisation ?

L’intégration des méthodes Agiles au cours de la dernière décennie a mis en évidence la nécessité d'une approche...

accounting-black-budget-53621

Comment maîtriser les coûts du stockage dans le cloud ?

Le stockage dans le cloud public permet généralement de réduire ses coûts et ses ressources par rapport à une...