Home > Les exigences et les mesures de sécurité informatique SecNumCloud

Les exigences et les mesures de sécurité informatique SecNumCloud

Les exigences et les mesures de sécurité informatique imposées par le référentiel SecNumCloud ont pour objectif l’atteinte d’un niveau de sécurité permettant le stockage et le traitement des données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le commanditaire.

Dans son référentiel, l’ANSSI a défini 13 axes fondamentaux en matière de sécurité. Des mesures techniques et organisationnelles de sécurité ont été mises en place par 3DS OUTSCALE et validées par un centre d’évaluation agréé par l’Agence nationale de la sécurité des systèmes d’information.

 

Les 13 axes de sécurité informatique SecNumCloud

   I. Renforcement des politiques de sécurité de l’information et             gestion du risque
  • Politique de sécurité
  • Appréciation des risques de l’information
  II. Perfectionnement de la continuité d’activité
  • Organisation de la continuité d’activité
  • Mise en œuvre de la continuité d’activité
  • Vérification, revue et évaluation de la continuité d’activité 
  • Disponibilité des moyens de traitement de l’information
  III. Amélioration de la sécurité des ressources humaines
  • Sélection des candidats
  • Conditions d’embauche
  • Sensibilisation, apprentissage et formations à la sécurite de l’information
  • Processus disciplinaire de travail
  • Rupture, terme ou modification du contrat de travail
  IV. Gestion précise des actifs

 

  • Inventaire et propriété des actifs
  • Restitution des actifs
  • Identification des besoins de sécurité de l’information
  • Marquage et manipulation de l’information
  • Gestion des supports amovibles

 
  V. Durcissement des contrôles d’accès et gestion des identités

 

  • Politiques et contrôle d’accès
  • Enregistrement et désinscription des utilisateurs
  • Gestion des droits d’accès
  • Revue des droits d’accès utilisateurs
  • Gestion des authentifications des utilisateurs
  • Accès aux interfaces d’administration
  • Restriction des accès à l’information

 
  VI. Déploiement complet de la cryptologie

 

  • Chiffrement des données
  • Hachage des mots de passe stockées
  • Chiffrement des flux
  • Non-répudiation
  • Gestion des secrets

 
  VII. Organisation approfondie de la sécurité de l’information

 

  • Fonctions et responsabilités liées à la sécurité de l’information
  • Séparation des tâches
  • Relations avec les autorités
  • Relations avec les groupes de travail spécialisés
  • Sécurité de l’information dans la gestion de projet

 
  VIII. Extension de la sécurité liée à l’exploitation

 

  • Procédures d’exploitation documentées
  • Gestion des changements
  • Séparation des environnements de développement, de test et d’exploitation
  • Mesures contre les codes malveillants
  • Sauvegarde des informations
  • Journalisation des événements
  • Protection de l’information journalisée
  • Synchronisation des horloges
  • Analyse et corrélation des événements
  • Installation de logiciels sur des systèmes en exploitation
  • Gestion des vulnérabilités techniques
  • Administration

 
  IX. Sécurité physique et environnementale évoluée

 

  • Périmètres de sécurité physique
  • Contrôle d’accès physique
  • Protection contre les menaces extérieures et environnementales
  • Travail dans les zones privées et sensibles
  • Zones de livraison et de chargement
  • Sécurité du câblage
  • Maintenance des matériels
  • Sortie des actifs
  • Recyclage sécurisé du matériel
  • Matériel en attente d’utilisation

 
  X. Acquisition, développement et maintenance des systèmes             d’information de haut niveau

 

  • Politique de développement sécurisé
  • Procédures de contrôle des changements de système
  • Revue technique des applications après changement apporté à la plateforme d’exploitation
  • Environnement de développement sécurisé
  • Développement externalisé
  • Test de la sécurité et conformité du système
  • Protection des données de test

 
  XI. Sécurité renforcée des communications
  • Cartographie du système d’information
  • Cloisonnement des réseaux 
  • Surveillance des réseaux
  XII. Relations maîtrisées avec les tiers

 

  • Identification des tiers
  • Sécurité dans les accords conclus avec les tiers
  • Surveillance et revue des services des tiers
  • Gestion des changements apportés dans les services des tiers
  • Engagements de confidentialité

 
  XIII. Pilotage de la gestion des incidents liés à la sécurité de                  l’information

 

  • Responsabilités et procédures
  • Signalements liés à la sécurité de l’information
  • Appréciation des événements liés à la sécurité de l’information et prise de décision
  • Réponse aux incidents liés à la sécurité de l’information
  • Tirer des enseignements des incidents liés à la sécurité de l’information
  • Recueil de preuves

 
 
Téléchargez l’attestation SecNumCloud
 
Vous avez un projet ?