L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a sélectionné AFNOR Certification pour mettre à l’épreuve la pertinence du futur label Secure cloud. Enjeu : permettre aux prestataires de services dits « d’informatique en nuage » de prouver leurs compétences.
Compétences des personnes, contrôle d’accès et gestion des identités, cryptologie, sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information… Les donneurs d’ordres publics et privés ont tendance à multiplier les demandes de garanties auprès des prestataires auxquels ils confient leurs données numériques. Pour favoriser l’émergence d’offres qualifiées et coordonner les efforts, l’ANSSI élabore, de manière collective, un référentiel d’exigences à leur intention.
L’heure est aujourd’hui à la mise à l’épreuve du futur label Secure cloud au travers d’audits tests. AFNOR Certification s’y investit en apportant toute son expertise de tiers de confiance, tirée notamment de l’analyse des pratiques des organismes, de plus en plus nombreux, qui s’appuient sur l’ISO 27001 pour manager leur sécurité de l’information.
L’expérimentation s’étendra jusqu’à mi-2016 et aboutira à un référentiel de qualification de prestataires couvrant les trois types d’activité (SaaS – software as a service, PaaS – platform as a service et IaaS – Infrastructure as a service). Deux niveaux sont prévus :
- niveau « Secure Cloud » correspondant aux exigences portées par la Politique de sécurité des systèmes d’information de l’Etat.
- niveau « Secure Cloud Plus » correspondant à une protection accrue, visant le traitement de données de niveau diffusion restreinte.
Ce label s’inscrit dans la Stratégie Nationale pour la sécurité du numérique et pourra être utilisé par les entreprises et les administrations dans leurs appels d’offre. Il a également vocation à être déployé en Allemagne.