Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ?

Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd'hui, Pascal Agosti nous exoplique les enjeux du SecNumCloud : le label de confiance de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).
Twitter Facebook Linkedin Flipboard Email
×

SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ?
SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ? © ra2 studio/Fotolia

Quand on parle de Cloud...

Encore présent en 2015, le Cloud n’apparaît plus dans la nouvelle déclinaison de la courbe de Hype des technologies émergentes pour sa version de 2016. Toutefois, ce n’est pas parce qu’il n’y figure plus que le Cloud a disparu. Bien au contraire, le Cloud a fini d’émerger et constitue désormais une réalité de plus en plus prégnante pour les entreprises, grandes ou petites.

 

Le Cloud c’est quoi ?

Il se définit comme une "forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients". La définition officielle peut faire frissonner tant les experts sécurité que les juristes et ne correspond pas forcément à celle rencontrée dans d’autres textes européens ou nationaux qui renvoient plutôt à un modèle de gestion informatique permettant l’accès via un réseau à des ressources informatiques partagées et configurables (v. en ce sens le référentiel SecNumCloud, § 1.1.1. ou la Directive SRI).


En effet, sans connaissance de la localisation ou des modalités de fonctionnement des serveurs d’un prestataire, comment assurer les exigences en termes de sécurité, de disponibilité des données (qu’elles soient ou pas à caractère personnel) requises par les textes législatifs ou les normes techniques et dès lors, répondre aux contrôles effectués par les autorités de régulation mais aussi les autorités judiciaires ?

 

Rappelons à simple titre d’exemple que la CNIL s’est déjà penchée sur la question du Cloud.

 

Quelques affaires emblématiques

Le fait de recourir à des prestataires étrangers - et au premier plan les GAFAM – est loin d’être anodin. Les autorités d’un pays étranger (le plus souvent les Etats Unis au vu de la nationalité des principaux prestataires de Cloud) peuvent accéder facilement à des données stockées dans des serveurs situés sur le territoire américain mais aussi en dehors de ce territoire en prétextant de la nationalité du prestataire.

 

Dès lors, les entreprises françaises et européennes doivent-elles être particulièrement vigilantes face à la confidentialité des données qu’elles comptent externaliser.

 

SecNumCloud, le label de l’ANSSI pour un cloud de confiance

En 2014, l’ANSSI avait testé en conditions réelles la pertinence des exigences fixées dans la première version du référentiel, alors baptisée  Secure Cloud. Suite à un appel d’offres "expérimental" en septembre 2014, neuf prestataires de services d’informatique en nuage avaient été sélectionnés par l’ANSSI. Leurs évaluations au regard du référentiel initial avaient été menées par trois centres d’évaluation sous l’observation de l’Agence de mars 2015 à novembre 2016. Le référentiel a alors été mis à jour pour prendre en compte le retour d’expérience.

 

Désormais, le référentiel d’exigences évolue vers deux documents :

  • Le premier (v 3.0 du 8 décembre 2016), contenant les exigences du niveau "Essentiel". Il correspond à "un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client" (§ 4.1) ;
  • Le second, qui sera publié ultérieurement, contenant les exigences du niveau "Avancé", correspondant à un niveau de sécurité "permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité" (§ 4.2).

 

On le comprend, le choix d’une offre d’un prestataire de Cloud répondant aux exigences "Essentiel" ou "Avancé" nécessitera de la part des entreprises un travail en amont pour toutes les entreprises cherchant à externaliser leurs données. Une analyse d’impact au sens de la norme ISO 27001 est donc à conseiller pour cerner au mieux ses besoins.


D’ailleurs, le référentiel – en 19 chapitres – s’inspire grandement de la norme ISO 27001 et couvre l’ensemble des prestataires de Cloud : IaaS, PaaS, SaaS en mettant en exergue les différents éléments traditionnels d’un bon management de la sécurité des systèmes d’information : politique de sécurité de l’information, organisation de cette sécurité, sécurité des ressources humaines, gestion des actifs, contrôle d’accès et gestion des identités, cryptologie, sécurité physique et environnementale, liée à l’exploitation, aux communications, relations avec les tiers, gestion des incidents, continuité d’activité, conformité...

 

Et en Europe ?

Notons toutefois que l’optique n’est pas que nationale et doit se penser à l’échelle européenne. En effet, face à ce risque, la Directive du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (dite Directive SRI ) a été publiée et prend particulièrement en compte les risques générés par l’informatique dans les nuages. L’ENISA joue à ce titre un rôle crucial qui devrait s’étoffer progressivement.

 

Arrêtons les métaphores météorologiques.

Pas de parapluie ou d’imperméable pour cette informatique dans les nuages mais du bon sens, une étude sécurité et un contrat (idéalement) négocié. Rappelons que les prestataires de Cloud raffolent des contrats d’adhésion et que cela pourra désormais leur jouer des tours au vu de la réforme du Code civil .

 

Alors, vers un renouveau de la négociation contractuelle dans le domaine du Cloud ?

 


Pascal AGOSTI, Avocat associé Docteur en droit, réussite à l’examen Lead Auditor 27001.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale