Les exigences et les mesures de sécurité informatique SecNumCloud
Les exigences et les mesures de sécurité informatique imposées par le référentiel SecNumCloud ont pour objectif l’atteinte d’un niveau de sécurité permettant le stockage et le traitement des données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le commanditaire.
Dans son référentiel, l’ANSSI a défini 13 axes fondamentaux en matière de sécurité. Des mesures techniques et organisationnelles de sécurité ont été mises en place par 3DS OUTSCALE et validées par un centre d’évaluation agréé par l’Agence nationale de la sécurité des systèmes d’information.
Les 13 axes de sécurité informatique SecNumCloud
|
I. Renforcement des politiques de sécurité de l’information et gestion du risque
|
- Politique de sécurité
- Appréciation des risques de l’information
|
| II. Perfectionnement de la continuité d’activité |
- Organisation de la continuité d’activité
- Mise en œuvre de la continuité d’activité
- Vérification, revue et évaluation de la continuité d’activité
- Disponibilité des moyens de traitement de l’information
|
| III. Amélioration de la sécurité des ressources humaines |
- Sélection des candidats
- Conditions d’embauche
- Sensibilisation, apprentissage et formations à la sécurite de l’information
- Processus disciplinaire de travail
- Rupture, terme ou modification du contrat de travail
|
| IV. Gestion précise des actifs |
- Inventaire et propriété des actifs
- Restitution des actifs
- Identification des besoins de sécurité de l’information
- Marquage et manipulation de l’information
- Gestion des supports amovibles
|
| V. Durcissement des contrôles d’accès et gestion des identités |
- Politiques et contrôle d’accès
- Enregistrement et désinscription des utilisateurs
- Gestion des droits d’accès
- Revue des droits d’accès utilisateurs
- Gestion des authentifications des utilisateurs
- Accès aux interfaces d’administration
- Restriction des accès à l’information
|
| VI. Déploiement complet de la cryptologie |
- Chiffrement des données
- Hachage des mots de passe stockées
- Chiffrement des flux
- Non-répudiation
- Gestion des secrets
|
| VII. Organisation approfondie de la sécurité de l’information |
- Fonctions et responsabilités liées à la sécurité de l’information
- Séparation des tâches
- Relations avec les autorités
- Relations avec les groupes de travail spécialisés
- Sécurité de l’information dans la gestion de projet
|
| VIII. Extension de la sécurité liée à l’exploitation |
- Procédures d’exploitation documentées
- Gestion des changements
- Séparation des environnements de développement, de test et d’exploitation
- Mesures contre les codes malveillants
- Sauvegarde des informations
- Journalisation des événements
- Protection de l’information journalisée
- Synchronisation des horloges
- Analyse et corrélation des événements
- Installation de logiciels sur des systèmes en exploitation
- Gestion des vulnérabilités techniques
- Administration
|
| IX. Sécurité physique et environnementale évoluée |
- Périmètres de sécurité physique
- Contrôle d’accès physique
- Protection contre les menaces extérieures et environnementales
- Travail dans les zones privées et sensibles
- Zones de livraison et de chargement
- Sécurité du câblage
- Maintenance des matériels
- Sortie des actifs
- Recyclage sécurisé du matériel
- Matériel en attente d’utilisation
|
| X. Acquisition, développement et maintenance des systèmes d’information de haut niveau |
- Politique de développement sécurisé
- Procédures de contrôle des changements de système
- Revue technique des applications après changement apporté à la plateforme d’exploitation
- Environnement de développement sécurisé
- Développement externalisé
- Test de la sécurité et conformité du système
- Protection des données de test
|
XI. Sécurité renforcée des communications
|
- Cartographie du système d’information
- Cloisonnement des réseaux
- Surveillance des réseaux
|
| XII. Relations maîtrisées avec les tiers |
- Identification des tiers
- Sécurité dans les accords conclus avec les tiers
- Surveillance et revue des services des tiers
- Gestion des changements apportés dans les services des tiers
- Engagements de confidentialité
|
| XIII. Pilotage de la gestion des incidents liés à la sécurité de l’information |
- Responsabilités et procédures
- Signalements liés à la sécurité de l’information
- Appréciation des événements liés à la sécurité de l’information et prise de décision
- Réponse aux incidents liés à la sécurité de l’information
- Tirer des enseignements des incidents liés à la sécurité de l’information
- Recueil de preuves
|
