Actu
Secure Cloud de l’ANSSI et label Cloud Confidence une complémentarité pour le meilleur du Cloud
juillet 2015 par Marc Jacob
Antoine Jacquier, cofondateur de Nuageo et membre de Cloud Confidence a animé un débat entre Carole Marcha, Secrétaire Général de Telehouse Europe et de Cloud confidence et Charles Schulz de l’ANSSI pour présenter les deux certifications : Secure Cloud de l’ANSSI et label Cloud Confidence. Pour nos deux intervenants, il ne s’agit de concurrence mais plutôt de complémentarité.
Carole Maréchal a rappelé brièvement les objectifs de L’association Cloud Confidence. Afin de démontrer l’intérêt pour l’Europe d’avoir une offre de Cloud européenne de qualité, elle a expliqué que l’espace européen représente un PIB directement concurrent de ceux des Etats-Unis ou de certains pays d’Asie. Il faut donc créer en Europe un climat de confiance pour que le Coud puisse prendre son essor. Charles Schulz explique qu’une des raisons à l’origine de la certification du Cloud s’inscrit dans une démarche globale de certification comme celle de la création des PASSI. L’intention de cette certification est de pouvoir contribuer à améliorer la confiance dans le Cloud et d’encourager l’émergence d’une offre française et européenne. Ce référentiel étatique a été élaboré à l’aide d’un groupe de travail composé d’industriels, de prestataire de services, mais aussi de clients finaux et d’administrations. C’est une série d’exigence a minima par rapport à la sécurité avec des points sur la localisation, le chiffrement...
Carole Maréchal rappelle que le référentiel prend en compte un aspect technique et organisationnel. Il repose sur le référentiel de la norme 27001 avec des éléments de sécurité supplémentaires. Par exemple au niveau technique, les stockages de données ponctuels doivent être soumis au même régime que le stockage de production. De plus, le tribunal compétent devra être soit français soit européen. De même pour les sous-traitants du prestataire une clause d’audit sera incluse dans le contrat. Enfin une possibilité de réversibilité des données à la fin du contrat devra être intégrée dans le contrat .
Concernant le référentiel de l’ANSSI, si une entreprise a déjà une certification ISO 27001, le gap pourra être minimal pour obtenir le référentiel de l’ANSSI. La gestion du cycle de vie de la données doit être incluse avec par exemple la destruction des données sur les serveurs du prestataire à l’aide de solutions certifiées par l’ANSSI.
Pour Carole Maréchal, il n’y a pas d’antinomie entre Secure Cloud et le label Cloud Confidence mais plutôt des complémentarités. En fonction des problématiques de chaque entreprise l’une ou l’autre pourra être envisagée. Les prestataires ont sans doute intérêt à être conforme aux deux. En effet, Charles Schulz rappelle qu’en fonction des appels d’offre ils devront être conformes à plusieurs référentiels.
Articles connexes:
