Jackin - Fotolia
France et Allemagne se rejoignent sur le cloud de confiance
L’Anssi et son homologue, le BSI, viennent d’annoncer la création d’un label commun, European Secure Cloud. La concrétisation d’une initiative annoncée par Axelle Lemaire il y a bientôt deux ans.
Début 2015, à l’occasion du Forum International de la Cybersécurité (FIC), Axelle Lemaire, secrétaire d’Etat chargée du numérique, avait annoncé un travail sur la construction d’une « zone de confiance Cloud sécurisé » rassemblant la France et l’Allemagne. Il vient d’aboutir.
Dans un communiqué, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient d’annoncer la création du label commun avec le BSI, son homologue allemand, European Secure Cloud (ESCloud). Et d’expliquer que ce dernier « s’appuie sur quinze règles techniques et organisationnelles qui vient à garantir le sérieux des initiatives nationales partenaires, le niveau de sécurité des solutions labélisées, ainsi que le traitement et le stockage des données sur le territoire européen ».
Dans la pratique, ces éléments sont définis dans le catalogue C5, côté allemand, et dans le référentiel SecNumCloud côté français. Publié en parallèle, ce dernier sert de base à la qualification des prestataires hexagonaux de services Cloud. Son premier volet, immédiatement disponible, définit les exigences socle, le niveau dit « Essentiel ».
De la part des prestataires, « il assure notamment le respect des bonnes pratiques de sécurité relevant de l’hygiène informatique, telles décrites dans le guide » de l’agence. On y retrouve des dispositions relatives aux politiques de sécurité et de gestion du risque, mais également d’organisation, de contrôle des ressources humaines, de gestion des actifs, ou encore de contrôle d’accès et de gestion des identités, sans oublier la « cryptologie » ni même la sécurité physique des installations. Et sa lecture ne surprendra pas ceux qui se sont penchés sur la documentation dans laquelle Microsoft décrit sa politique de partage des responsabilités pour les services Cloud.
Le second volet du référentiel, relatif aux exigences de niveau dit « Avancé » doit être publié ultérieurement.
Avec cette annonce, la France et l’Allemagne apportent un début de concrétisation à leurs ambitions en faveur d’une Europe de la cybersécurité, poussée notamment par le couple. Fin janvier dernier, à l’occasion de l’édition 2016 du FIC, Anssi et BSI avaient évoqué travailler à des mécanismes de « reconnaissance croisée » de leurs certifications et labélisations respectives. Une première étape apparaît aujourd’hui franchie. Mais d’autres domaines pourraient être à terme concernés, comme les prestations de test d’intrusion ou encore les services de sécurité managés. L’Anssi travaille déjà à leur labélisation ; le BSI indiquait, en début d’année, y réfléchir.