• À propos
  • Newsroom
  • Carrières
  • Devenir partenaire
  • Rechercher
Calcul
Des ressources de calcul performantes et évolutives pour vos charges de travail critiques. Orchestrez vos applications cloud-native avec nos solutions conteneurs modernes.
Découvrez l'offre Calcul
Dedicated servers
VM Instances
Une solution de machines virtuelles à la demande, flexible et sécurisée, sur une infrastructure mutualisée.
IaaS OpenSource
Infrastructure virtualisée open source dans un environnement cloud de confiance qualifié SecNumCloud pour une souveraineté technologique complète.
IaaS VMWare
Vos machines virtuelles VMware dans un environnement cloud de confiance qualifié SecNumCloud et certifié HDS.
Containers
PaaS Openshift
La plateforme unifiée pour créer, moderniser et déployer vos applications à grande échelle dans un cloud souverain.
Managed Kubernetes
Solution d’orchestration de conteneurs managée offrant sécurité, résilience et automatisation avancée sur infrastructure souveraine.
Bare Metal
Bare Metal
Des serveurs dédiés et entièrement personnalisables pour une autonomie totale sur votre infrastructure souveraine.
Stockage
Des solutions de stockage adaptables et performantes pour tous vos besoins. Optimisez vos données avec nos solutions bloc et objet hautement disponibles.
Découvrez l'offre Stockage
Stockage
Stockage bloc
La solution de stockage en bloc adaptable pour des performances de stockage optimales dans un cloud souverain.
Stockage objet
La solution de stockage évolutive et économique pour vos données non structurées dans un cloud souverain.
Sauvegarde
Solutions de sauvegarde
Des solutions de sauvegarde différenciées, adaptées à vos enjeux et à vos environnements
Réseau
Des solutions réseau avancées pour connecter et sécuriser vos infrastructures. Déployez vos réseaux privés de manière automatisée et sécurisée.
Découvrez l'offre Réseau
Réseau
Virtual Private Cloud
Déployez et gérez vos réseaux privés de manière 100% automatisée et sécurisée.
Private Backbone
Prenez le contrôle total de votre réseau avec une connectivité de niveau 2 étendue, conçue pour les architectures hybrides et les configurations sur mesure.
Firewall
Managed Firewall
Des solutions de sécurité avancées, pour une isolation complète et une protection renforcée
Hébergement Sec
Housing – Espace Dédié
Un hébergement sécurisé pour vos équipements dans un environnement dédié ou partagé, selon vos besoins.
Sécurité
Des solutions de sécurité avancées pour protéger vos infrastructures critiques. Contrôlez l'accès et défendez-vous contre les menaces en ligne.
Découvrez l'offre Sécurité
Sécurité
Anti DDoS
Le bouclier contre les attaques en ligne
Bastion
Le contrôle d’accès centralisé et transparent pour une protection robuste de vos infrastructures
Managed KMS
La gestion des clés cryptographiques souveraine, avec racine de confiance matérielle HSM, pour protéger vos données les plus sensibles sur infrastructure SecNumCloud.
Managed SIEM
Une plateforme centralisée de collecte et de corrélation de logs de sécurité, alliant l'automatisation par IA et des règles de détection avancées (MITRE ATT&CK).
IA
Des solutions d'intelligence artificielle pour transformer vos données en insights et accélérer vos processus métier.
Découvrez l'offre IA
IA
LLMaaS
Accédez à des modèles de langage de pointe sur une infrastructure souveraine, qualifiée SecNumCloud et certifiée HDS, pour des applications d’IA performantes et sécurisées.
GPU
Instances GPU NVIDIA pour accélérer vos calculs d’intelligence artificielle et de calcul haute performance dans un cloud souverain.
Data
Des solutions de données pour gérer, analyser et exploiter vos données critiques.
Découvrez l'offre Data
Bases de données
Managed MariaDB
Une base de données relationnelle MariaDB entièrement managée et sauvegarde PITR sur infrastructure souveraine SecNumCloud.
Managed PostGreSQL
La solution de base de données relationnelle entièrement managée sur infrastructure souveraine SecNumCloud
Big Data
Managed Kafka
La plateforme distribuée open-source pour la diffusion de données en continu et en temps réel
Managed File System
Un système de fichiers distribué managé, souverain et haute disponibilité, accessible en NFS et SMB sur infrastructure SecNumCloud.
Management & Gouvernance
Des services d'accompagnement et de support pour vous aider dans votre transformation cloud.
Découvrez l'offre d'accompagnement
Accompagnement
Niveaux de support
Découvrez les 3 niveaux de support pour vous accompagner au mieux selon vos enjeux.
Professional services
De la conception à l’optimisation, Cloud Temple vous accompagne à chaque étape de votre projet.
Gouvernance
Console – API – Provider Terraform
Une interface unique pour visualiser et gérer vos produits et services
Observability
Les métriques de votre infrastructure disponibles dans les standards du marché
À propos
L'entreprise
Qui sommes-nous ?
Équipe dirigeante
Implantations
Engagements RSE
Secteurs
Secteur public
Santé
Secteur financier
Industrie
Nos approches
Nos démarches de conformité
Notre approche SecNumCloud
IA de confiance
Interopérabilité & hybridité
Transparence sur le traitement des données de santé
Newsroom
Le magazine
Evènements & Webinaires
Communiqués de presse
Dans les médias
Base documentaire
Carrières
Travailler chez Cloud Temple
Nous rejoindre
Devenir partenaire
Éditeurs
Managed Services Providers
FR EN DE IT
Contact
Le magazine > Sécurité des systèmes d’information sensibles : les recommandations de l’ANSSI

La sécurité des systèmes d’information (SI) est cruciale pour la protection des données sensibles, qu’elles soient de nature publique ou privée. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a établi des recommandations spécifiques pour l’hébergement des SI dans le cloud, en fonction de leur sensibilité et de la nature des menaces auxquelles ils sont exposés. Cet article présente ces recommandations et les critères à prendre en compte pour assurer une sécurité optimale.

Les outils nécessaires à l’application des recommandations

Les recommandations de l’ANSSI reposent sur trois éléments clés :

  1. La typologie des offres cloud
  2. La typologie des menaces
  3. La nature des systèmes d’information

1. La typologie des offres cloud selon l’ANSSI

La typologie des offres cloud est essentielle pour déterminer le niveau de sécurité requis. Les offres peuvent être commerciales (publiques, privées, communautaires) ou non commerciales (internes, communautaires).

Offres cloud commerciales

  1. Publique : Cette offre est mutualisée pour l’ensemble des clients de l’offre. Elle permet une grande flexibilité et évolutivité, mais peut présenter des risques en termes de sécurité et de confidentialité des données en raison de la mutualisation des ressources.
  2. Privée : L’offre cloud privée est dédiée à une seule entité, offrant des ressources (processeur, espace de stockage) qui sont physiquement dédiées à l’entité en question. Cela permet un contrôle accru sur la sécurité et la gestion des données, mais peut être plus coûteux que les solutions mutualisées.
  3. Communautaire : Ce type d’offre cloud est déployé pour répondre aux besoins d’un groupe d’entités partageant des intérêts communs qu’elles soient étatiques ou privées. Les ressources sont mutualisées entre les membres de la communauté, permettant de partager les coûts et d’optimiser l’utilisation des infrastructures.

Offres cloud non commerciales

  1. Interne : Ce type d’offre est déployé en interne dans l’infrastructure de l’entité utilisatrice. L’exploitation et la supervision des infrastructures peuvent être assurées par l’entité ou par un sous-traitant. Cette approche permet à l’entité de bénéficier des avantages du cloud, tels que la flexibilité et l’évolutivité, tout en gardant un contrôle strict sur la sécurité et la gestion des données.
  2. Communautaire : Dans certains cas particuliers, des entités d’un même secteur d’activité peuvent mutualiser leurs besoins pour créer une infrastructure cloud communautaire. Cela permet de partager les coûts et les ressources tout en maintenant un certain niveau de contrôle et de sécurité. Des exemples de ce type d’offre incluent les initiatives comme Pi et Nubo.

2. La typologie des menaces

Les systèmes d’information peuvent être exposés aux différentes typologies des menaces. L’ANSSI distingue trois grandes catégories de menaces : les menaces stratégiques, les menaces systémiques, et les menaces hacktivistes ou isolées.

Menace stratégique

Les menaces stratégiques se manifestent par des attaques informatiques persistantes et ciblées, souvent financées par des États. Ces attaques utilisent des moyens techniques et organisationnels importants et sont menées avec une grande discrétion. Ces menaces visent fréquemment à déstabiliser les institutions ou à compromettre la sécurité nationale, ciblant des infrastructures critiques ou des secteurs stratégiques.

Certains États peuvent recourir à des lois extraterritoriales ou à des législations spécifiques pour accéder aux données hébergées dans le cloud sans mener d’attaque informatique. Les hébergeurs soumis à ces lois doivent transmettre les données de leurs clients aux autorités, souvent sans possibilité de recours ou d’information préalable des clients concernés.

Menace systémique

Les menaces systémiques peuvent affecter un grand nombre d’entités et incluent principalement la menace cybercriminelle, caractérisée par des attaques informatiques opportunistes et souvent lucratives, telles que les rançongiciels et les fraudes.

Ces menaces sont également amplifiées par la disponibilité croissante d’outils et de services offensifs, commercialisés par des entreprises privées. Ces services peuvent être utilisés pour l’intelligence économique, l’espionnage industriel, ou permettre à certains États aux ressources limitées d’acquérir des capacités offensives.

Menace hacktiviste ou isolée

Les menaces hacktivistes ou isolées sont souvent motivées par des idéologies politiques ou sociales. Les hacktivistes cherchent à promouvoir une cause ou à protester contre des actions spécifiques en perturbant les systèmes d’information de leurs cibles. Les attaques peuvent inclure des défigurations de sites web, des dénis de service distribués (DDoS) ou des fuites de données. Les menaces isolées, quant à elles, sont souvent le fait d’individus ou de petits groupes sans affiliation à des organisations plus larges.

Focus sur le référentiel et la qualification SecNumCloud
  • Le référentiel SecNumCloud de l’ANSSI propose des règles de sécurité et de bonnes pratiques garantissant un haut niveau de sécurité. La qualification SecNumCloud assure que les offres cloud respectent ces exigences, tant du point de vue technique qu’opérationnel.

 

  • La qualification SecNumCloud, basée sur ce référentiel, est attribuée par l’ANSSI à des offres cloud en PaaS, IaaS ou SaaS, et assure la confiance dans les offres cloud et les pratiques d’exploitation des opérateurs qualifiés. Cependant, cette qualification ne garantit pas la sécurité des services numériques des clients utilisant ces offres.

 

  • Le “Visa de sécurité” SecNumCloud permet aux utilisateurs d’identifier des offres cloud visant à protéger les données et les traitements sensibles contre les menaces cybercriminelles et les lois extraterritoriales. Cette qualification facilite également les processus d’homologation des services numériques des clients, en leur offrant un certain niveau de garantie sur les infrastructures sous-jacentes.

3. La nature des systèmes d’information

Le troisième élément clé des recommandations de l’ANSSI repose sur la nature des systèmes d’information concernés :

  1. Systèmes d’information de niveau diffusion restreinte (DR) : Ces systèmes traitent des données classées diffusion restreinte, nécessitant des mesures de protection spécifiques pour éviter la divulgation non autorisée.
  2. Systèmes d’information sensibles relevant de la doctrine cloud au centre de l’État : Ces systèmes, hors SIIV, traitent des données sensibles conformément à la circulaire cloud au centre, et nécessitent une attention particulière pour garantir leur sécurité.
  3. Systèmes d’information sensibles des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) : Bien qu’ils ne soient pas réglementés comme les SIIV, ces systèmes sont considérés comme sensibles en raison de la nature des données qu’ils traitent, nécessitant des mesures de protection renforcées.
  4. Systèmes d’information d’importance vitale (SIIV) : Ces systèmes sont cruciaux pour la sécurité nationale, économique et la capacité de survie de la Nation. Une atteinte à leur sécurité ou à leur fonctionnement pourrait gravement compromettre ces aspects, représentant un danger significatif pour la population.

L’application des recommandations de l’ANSSI

L’ANSSI définit pour les quatre systèmes d’information présentés ci-dessus, en fonction de la sensibilité des traitements et des données, ainsi que du niveau de la menace associé, les recommandations suivantes :

Synthèse des recommandations d’hébergement cloud de l’ANSSI par Cloud TempleTélécharger la synthèse

SI sensible de niveau DR

  • L’ANSSI recommande l’utilisation d’offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) ainsi que des offres commerciales privées. Ces options permettent de bénéficier d’une infrastructure dédiée, réduisant ainsi le risque de propagation d’une attaque d’un client à un autre.
  • Les offres cloud qualifiées SecNumCloud commerciales, qu’elles soient communautaires ou publiques, sont également envisageables. Toutefois, elles impliquent une mutualisation des ressources informatiques entre plusieurs clients (par exemple, le stockage des données sur une même ressource physique ou l’hébergement de sites web sur les mêmes serveurs physiques).
Externalisation de l’hébergement

La décision d’externaliser l’hébergement sur une offre cloud commerciale qualifiée SecNumCloud doit être prise par l’entité concernée, basée sur une analyse de risques démontrant que la solution offre un niveau de protection adéquat.
Il est crucial de considérer la localisation de l’hébergement et la nationalité des administrateurs lorsque l’accès à certaines informations est restreint par la nationalité (par exemple, les informations Diffusion Restreinte – Spécial France). Dans ce cas, une offre cloud non commerciale pourrait être plus appropriée pour répondre aux exigences de l’IGI 1300.

SI sensible relevant de la doctrine cloud au centre de l’État

  • Conformément à la « doctrine cloud au centre » de l’État, ces systèmes doivent être hébergés exclusivement dans des offres cloud qualifiées SecNumCloud (internes, privées, communautaires ou publiques).

SI sensible d’un opérateur d’importance vitale et SI sensible d’un opérateur de services essentiels (dont les systèmes d’information essentiels)

  • L’ANSSI recommande l’utilisation de toute offre qualifiée SecNumCloud pour ces systèmes.

SI d’importance vitale (SIIV)

  • En raison de la sensibilité des traitements et des données qu’ils gèrent, les SIIV nécessitent une décision motivée du responsable de l’entité concernée.
  • Pour les SIIV compatibles avec les technologies cloud, l’ANSSI recommande les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, permettant de disposer d’une infrastructure dédiée et de minimiser le risque de propagation d’une attaque d’un client à un autre.
Conditions pour autres types d’offres cloud commerciales

L’ANSSI n’exclut pas l’utilisation d’autres types d’offres cloud commerciales, à condition que :

  • Elles soient qualifiées SecNumCloud
  • Le responsable de l’entité base sa décision sur une analyse de risques argumentée concernant l’externalisation de l’hébergement du SIIV et que toutes les obligations réglementaires applicables aux SIIV soient respectées.
Catégories
Cybersécurité & Conformité
Le magazine
Politique en matière de cookies

Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site mais nous ne prélevons aucune donnée à caractère personnel.

Les services de mesure d’audience, nécessaires au fonctionnement et à l’amélioration de notre site, ne permettent pas de vous identifier personnellement. Vous avez cependant la possibilité de vous opposer à leur usage.

Pour plus d’informations, consultez notre politique de confidentialité.

Autoriser Refuser