You are currently viewing L’ANSSI dévoile ses recommandations concernant l’hébergement dans le cloud des systèmes d’information sensibles.

Dans un rapport publié le 9 juillet 2024, l’Agence nationale de la sécurité des systèmes d’information, donne des indications sur l’hébergement Cloud concernant les systèmes d’information sensibles. Dans ce rapport simple et percutant, l’agence française revient sur les opportunités et les défis du cloud, affirme la nécessité d’outils d’aide à la décision et à l’application de ses recommandations, revient sur les précautions d’emploi pour les entités et donne des exemples d’application de ses recommandations.

Pour l’agence française le cloud est une opportunité mais aussi un défi. Le cloud coumputing, est une prestation de service informatique permettant aux utilisateurs d’avoir accès en permanence à des applications web, à leurs données et à toutes sortes de ressources informatiques via Internet. Cette technologie fonctionne en stockant des informations sur des serveurs distants, faisant de chaque objet connecté un point d’accès à ces données. Cet avantage d’utilisation pose tout de même des questions en termes de sécurité des systèmes d’information. Dans ses recommandations, l’ANSSI met en évidence les cyberattaques ciblant spécifiquement les infrastructures Cloud. Il est donc essentiel d’ajuster les niveaux de sécurité en fonction de la sensibilité des données.

Pour répondre à ces problématiques, l’ANSSI a développé un outil d’aide à la décision, permettant aux organismes de sélectionner le type d’offres cloud à adopter en fonction de leur système d’information (SI), des différents niveaux de sensibilité des données et des menaces associées. Les SI visés sont catégorisés en plusieurs niveaux :

  • SI de niveau diffusion restreinte
  • SI sensibles des opérateurs d’importance vitale et des opérateurs essentiels
  • SI d’importance vitale

Dans ses recommandations, l’ANSSI rappelle tout de même que ses dispositions ne peuvent être effectives que si les organismes prennent des précautions dans leur projet de migration tel que des analyses de risque,  qu’ils sélectionnent des mécanismes de sécurisation des cloud en lien avec des certifications pertinentes et procéder à des formations de leurs équipes dans la bonne utilisation des technologies cloud.

Pour procéder à une migration sécurisée les recommandations de l’agence française repose sur trois piliers qui varient selon les différents types de SI. Les organismes devront alors prendre en compte : la typologie des offres cloud (commerciales ou non commerciales), la typologie des menaces (stratégiques, systémiques, hactivistes ou isolées) et sur la nature des SI.

Le document rappelle également que le référentiel SecNumCloud impose un haut niveau d’exigences techniques, juridiques et opérationnelles. Ce référentiel, élaboré par l’agence elle-même, permet d’évaluer le niveau de sécurité et de bonnes pratiques « d’hygiène informatique » des SI. Ce référentiel permet d’évaluer les offres Paas, Iaas et Saas permettant d’apporter un haut niveau de confiance des différentes offres cloud certifiées. Attention, les clients doivent tout de même sécuriser leur site web car cette certification ne vise que les organismes clouds.

Pour retrouver les offres cloud certifiées SecuNumCloud, il faut simplement se rendre sur le site de l’ANSSI où tous les organismes disposant de ce certificat sont listés.

Dans ce rapport, nous pouvons alors comprendre qu’il est possible d’héberger des SI sensibles s’il existe une solution présentant un niveau adéquat de protection sur des offres Cloud commerciales publiques. L’ANSSI affirme également que les SI relevant de la doctrine cloud « centre de l’Etat » ne sont possibles que si l’offre Cloud est certifiée SecNumCloud.

Cette certification peut aider les utilisateurs du cloud à se tourner vers des organismes offrant un haut niveau de sécurité, garantissant ainsi des services de qualité.

Source :

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.