Article – Quels labels et certifications privilégier pour choisir votre fournisseur cloud ?

Choisir son prestataire cloud : les labels, certifications et les réglementations à connaître

Les législations française, européenne et internationale évoluent rapidement sur le sujet de la sécurité des données et des systèmes d’information. Les organisations sont de plus en plus vigilantes à la conformité des solutions qu’elles exploitent… ainsi qu’aux risques juridiques. La CNIL a ainsi enregistré 12 000 plaintes et infligé 101 millions d’euros d’amendes en 2022.

Au-delà des enjeux technologiques, le choix du fournisseur cloud est étroitement lié à ces problématiques réglementaires. Plusieurs normes, certifications et labels aident les organisations à y voir plus clair sur les garanties proposées par les prestataires. Nous vous les présentons dans cet article afin de vous aider à choisir le fournisseur cloud le mieux adapté à vos besoins de conformité.

Cloud Public VMware

Valider le niveau de sécurité de votre prestataire cloud

Plusieurs labels français, européens et mondiaux permettent de vérifier le niveau de sécurité offert par les différents fournisseurs cloud du marché.

En France :

  • La qualification SecNumCloud

Cette qualification est délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) aux fournisseurs cloud, proposant des services d’Infrastructure as a Service (IaaS), de Platform as a Services (PaaS) et de Software as a service (SaaS), après un processus approfondi d’évaluation de leur niveau de sécurité basées sur plus de 360 critères d’exigences.

SecNumCloud s’appuie notamment sur les exigences de sécurité issues des normes internationales du secteur telles que l’ISO 27001, l’ISO 27017 et l’ISO 27018.

Dans sa dernière version 3.2, le label SecNumCloud fixe des exigences supplémentaires sur la localisation des services et la nationalité du fournisseur afin de garantir « l’immunité au droit non communautaire » :

  • Héberger les données en France,
  • Gérer les services depuis un pays européen,
  • Être une entreprise européenne, détenue en majorité par des acteurs européens.

Cette nouvelle version de SecNumCloud servira de base au label « Cloud de confiance ».

Les prestataires ayant la qualification SecNumCloud démontrent leur capacité à garantir la confidentialité, l’intégrité et la disponibilité des données de leurs clients, mais aussi une gestion sécurisée des accès, une excellente capacité de gestion des incidents… en bref, ils offrent donc le meilleur niveau de sécurité à leurs clients.

La liste des prestataires des fournisseurs ayant obtenu cette qualification ou étant en cours de processus de labellisation est disponible sur le site de l’ANSSI.

  • Le label cloud de confiance

Également délivré par l’ANSSI dans le cadre de la stratégie nationale de l’Etat présentée en mai 2021, ce label « Cloud de confiance » indiquera aux acteurs publics et privés, les services cloud offrant un niveau satisfaisant de sécurité technique et juridique. Les titulaires de ce label seront des entités européennes, qui hébergent les données de leurs clients sur le sol de l’Union Européenne, dans le respect du RGPD.

Ainsi, un fournisseur bénéficiant du label “cloud de confiance” n’est soumis à aucune juridiction extraterritoriale. Ce label repose sur les exigences SecNumCloud 3.2.

Cette approche n’exclut pas totalement les acteurs extra européens, dont l’avance technologique est jugée indispensable, mais elle les contraint à se plier aux exigences strictes énoncées dans la version actualisée du référentiel SecNumCloud présentée au-dessus.

  • La doctrine “cloud au centre”

Cette doctrine invite les administrations de l’Etat à basculer massivement dans le cloud et instaure le cloud comme socle technologique de tout nouveau projet numérique relatif aux administrations de l’État.

Celle-ci n’est pas un label “délivrable”. En revanche, la doctrine “cloud au centre” établit 15 règles que tout fournisseur cloud sélectionné, pour intervenir sur les projets des administrations, se doit de respecter. Un prestataire capable de suivre l’ensemble de ces règles est donc particulièrement digne de confiance en matière de sécurité.

Les données sensibles devront néanmoins être hébergées sur l’un des clouds internes de l’État, comme ceux développés par la Direction générale des Finances publiques (Nubo) et le ministère de l’Intérieur (PI), ou sur des clouds commerciaux qualifiés SecNumCloud ou bénéficiant du label Cloud de confiance.

En Europe :

  • L’initiative Gaia-X

Initiative privée franco-allemande regroupant environ 350 entreprises du numérique dont Orange est membre fondateur, Gaia-X a pour but de proposer un “catalogue” de standards pour la création de services cloud et de promouvoir la création d’espaces de données sectoriels mutualisés afin d’aider les clients à identifier facilement les fournisseurs technologiques dignes de confiance.

Chaque participant s’engage à respecter des valeurs de transparence, d’interopérabilité, de souveraineté, de sécurité, de protection des données, de réversibilité ou encore de portabilité. L’objectif de l’initiative est de mettre en place un label Gaia-X pour attester la conformité des fournisseurs avec ces valeurs.

Ceci n’exclut donc pas les acteurs extra-européens, qui ne peuvent cependant pas intégrer la gouvernance du projet.

  • L’EUCS Scheme for Cloud Services

L’European Cyber Security Organisation Scheme for Cloud Services est un label, encore en cours d’élaboration par l’agence européenne de la sécurité (ENISA), qui s’inspire de différentes certifications (comme le SecNumCloud en France) pour créer un cadre de certification européen en matière de sécurité des services cloud.

Dans le monde :

  • Les normes ISO/CEI 27001 – 27017 – 27018 – 27701

Ces différentes normes ISO/CEI sont des certifications qui attestent la conformité d’un fournisseur cloud aux normes internationales en matière de sécurité de l’information des environnements cloud, de protection des données à caractère personnel et de la vie privée.

  • La norme ISO/CEI 27001, révisée, 2013, établit en particulier une liste d’exigences à suivre dans le cadre de la création d’un système de gestion de la sécurité de l’information.
  • La norme ISO 27017, publiée en 2015 et spécifiquement dédiée au cloud, apporte des garanties sur les sécurités techniques, juridiques et organisationnelles – offertes par les prestataires.
  • La norme ISO/CEI 27701, publiée en 2019, complète quant à elle l’ISO/CEI 27001 avec des exigences spécifiques sur la protection des données personnelles.
  • Les certifications SOC

Les certifications SOC (Service Organization Controls), déclinés en SOC 1, SOC 2 et SOC 3, témoignent de la sécurité et de la fiabilité des systèmes de contrôle d’une entreprise : sécurité physique et des centres de données, sécurité des données, gestion des identités et des accès, continuité des activités en cas d’incident…

Les critères de ces certifications sont définis par l’American Institute of Certified Public Accountants (AICPA) et délivrés par des auditeurs indépendants.

Garantir la sécurité des données

Au-delà du niveau de sécurité proposé par les fournisseurs cloud, plusieurs labels offrent aux organisations des garanties supplémentaires concernant la sécurité et la confidentialité de leurs données.

En France :

  • La certification HDS

Délivrée par un organisme agréé par le Ministère de la Santé, la certification HDS (Hébergeur de Données de Santé) est obligatoire en France, depuis le 1er avril 2028, pour les fournisseurs de services cloud qui souhaitent héberger des données de santé. Ces données, particulièrement sensibles, doivent être protégées par de nombreuses mesures de sécurité.

Il existe deux types de certificat HDS : le premier est dédié aux hébergeurs d’infrastructure physiques et le second aux hébergeurs infogéreurs.

Le premier couvre les sites physiques et les infrastructures matérielles ; le second, les plateformes d’hébergement, l’infrastructure logicielle, l’administration et l’exploitation des systèmes, et la sauvegarde des données.

En Europe :

  • Le Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données encadre le traitement des données personnelles des citoyens de l’Union Européenne par les organisations.

Une donnée personnelle est toute information qui se rapporte à une personne physique, identifiée ou identifiable. L’organisation est tenue de recenser les données personnelles qu’elle détient (sur ses clients, fournisseurs, salariés, agents…), de lister les traitements qu’elle leur applique, de recueillir le consentement des personnes concernées, et, si celles-ci le demandent, d’effacer ou de leur restituer leurs données.

Le RGPD s’applique peu importe où elles se trouvent, dans un data center, un cloud privé ou un cloud public.

Quatre ans après sa mise en vigueur, le Comité européen de protection des données a approuvé en octobre 2022 un premier référentiel de certification RGPD. Son objectif est simple : permettre aux entreprises de faire reconnaître leur niveau de mise en conformité au RGPD par un tiers de confiance.

Dans le monde :

  • Le C.L.O.U.D Act

Le Clarifying Lawful Overseas Use of Data Act est une loi américaine qui permet aux autorités US munies d’un mandat judiciaire de demander à une entreprise fournissant des services de communication électronique, sous le contrôle d’un juge, la transmission des données nécessaires à la conduite d’enquêtes criminelles ou terroristes.

Il s’impose à tous les fournisseurs de cloud dès lors qu’ils ont une activité aux Etats-Unis ou qu’ils entretiennent une relation avec les Etats-Unis. Il est important de noter que le C.L.O.U.D. Act reconnaît la possibilité pour les entreprises de contester les demandes des autorités, en particulier lorsqu’elles ne respectent par la législation du pays où sont stockées les données.

Ainsi, le RGPD offre un moyen juridique de contestation pour les données hébergées en Union Européenne.

  • La norme PCI DSS

Visant à lutter contre la fraude en ligne, la norme PCI DSS est une norme mondiale qui peut être délivrée aux organismes qui traitent les données relatives aux cartes de paiement et certifie leur conformité à des normes de sécurité strictes pour la protection de ces informations.

  • Les normes HIPAA

À l’instar de la certification HDS, les normes américaines HIPAA s’adressent aux entreprises qui hébergent des données de santé. Elles établissent des règles à respecter en matière de sécurité et de confidentialité des données.

Contrôler la qualité du cloud

Au-delà des mesures de sécurité, d’autres normes et labels permettent d’évaluer la qualité de service proposée par les fournisseurs cloud. À l’échelle mondiale, on peut par exemple citer :

  • La norme ISO 20000-1

Cette norme internationale propose un cadre pour permettre aux entreprises d’assurer une gestion efficace de leurs Technologies de l’Information et de s’inscrire dans une démarche d’amélioration continue.

Chaque service est testé et contrôlé en interne mais également par des organismes de certification de manière régulière. Les fournisseurs cloud qui répondent à cette norme démontrent ainsi leur fiabilité et leur qualité de service.

  • La norme ISO 9001

C’est une norme internationale qui établit les exigences pour un système de gestion de la qualité (SGQ). Elle fournit un cadre pour la mise en place d’un système de gestion efficace et d’amélioration continue de la qualité.

Elle permet donc aux clients de s’assurer que le fournisseur cloud adopte des processus et des procédures conformes aux normes internationales.

Il existe une multitude de labels, de normes, de certifications et réglementations qui permettent d’évaluer la fiabilité des prestataires cloud, tant sur le plan de la sécurité que de la qualité de service. Ceux-ci vous permettront d’identifier les fournisseurs en conformité avec la juridiction de votre entreprise, capables de répondre à vos spécificités sectorielles… et votre niveau d’exigence.

post-image
Infographie – Indicateurs environnementaux des datacenters

Show post
post-image
Livre blanc – Comment réduire la consommation énergétique et l’impact environnemental des datacenters

Show post
post-image
Le PCR « Datacenter et services cloud » de l’ADEME : collaboration et engagement d’Orange Business

L’Agence De l’Environnement et de la Maîtrise de l’Energie (ADEME) joue un rôle essentiel dans la promotion de pratiques durables et respectueuses de l’environnement. Dans…

Show post