FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud

La série de recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (accessible ici) est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.

Cette FAQ vise à répondre aux questions principales concernant les recommandations de l’agence. La liste des questions-réponses sera progressivement enrichie.

1. Les recommandations de l’ANSSI ont-elles un caractère obligatoire ?

La série de recommandations mis à disposition par l’ANSSI est un outil d’aide à la décision non contraignant. Certains points précis évoqués dans le document sont toutefois obligatoires (en cohérence avec la doctrine « Cloud au centre » de l’Etat qui impose pour l’administration, et plus spécifiquement pour les données sensibles, de recourir à des solutions cloud qualifiées SecNumCloud).

2. Comment utiliser ces recommandations ?

Dans le cadre d’un projet de migration d’un système d’information sensible vers un hébergement cloud, les recommandations de l’ANSSI peuvent être utilisées comme un outil d’aide à la décision qui permettent d’identifier des étapes essentielles de toute réflexion à conduire en amont d‘une éventuelle migration, en prenant en compte les différents aspects techniques et organisationnels de celle-ci. Le document précise les types d’offres cloud à privilégier, en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé.

3. Quelles sont les recommandations de sécurité à suivre lors de la migration d’un système d’information vers un hébergement cloud ?

L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques.

En complément des précautions d’emploi indiquées dans le document mis à disposition par l’ANSSI, il est important que l’entité responsable du système d’information s’assure des bonnes configurations et de la sécurité des solutions cloud choisies. Ainsi, il est de la responsabilité des entités d’identifier l’offre la plus adaptée à leurs besoins, d’acquérir les licences idoines auprès des offreurs cloud, ainsi que de configurer les bonnes options de sécurité. Par ailleurs, l’insertion d’une clause de réversibilité permet d’éviter toute dépendance à une offre cloud unique et à ses évolutions futures.

D’autres bonnes pratiques sont à privilégier, notamment des audits réguliers de la solution ; le suivi des accès ; le suivi des vulnérabilités du fournisseur cloud ; etc

4. Comment s’articulent les recommandations de l’ANSSI avec le futur schéma de certification européen pour les services cloud (EUCS) ?

Le schéma de certification européen services cloud (EUCS) est actuellement en cours d’élaboration. Les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud seront mises à jour lors de l’entrée en application du schéma de certification européen EUCS.

5. Où trouver plus d’informations sur le Visa de sécurité SecNumCloud évoqué dans les recommandations?

Nous vous invitons à consulter :

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud