Externaliser ses données est une décision difficile à prendre. Malgré cela, l’adoption du cloud dans les entreprises est aujourd’hui une réalité. D’après les dernières prévisions du Gartner, le marché du cloud public devrait connaître une croissance de plus de 17% en 2019. Cependant, certaines entreprises (comme les OIV) ont besoin d’un niveau de sécurité supérieur à celui proposé par le cloud public. Elles se tournent alors vers des solutions de cloud privé (private cloud en anglais).

SecNumCloud (SNC) est un référentiel ayant pour objectif de fixer un haut niveau de sécurité en ce qui concerne la sécurité que doivent attendre les entreprises et les instances gouvernementales de la part de leur fournisseur CSP (Cloud Service Provider). Début janvier 2019, Oodrive est devenu le premier acteur à obtenir le Visa de sécurité ANSSI via la qualification SecNumCloud. La qualification concerne ses solutions de partage en environnement cloud privé.

Le cloud privé pour les entreprises : de quoi parle-t-on ?

Quelles sont les caractéristiques d’un cloud privé par rapport à un cloud public ? A quels besoins répond cette technologie ? De quelles garanties supplémentaires en matière de sécurité bénéficient les offres de cloud privé SecnumCloud d’Oodrive ? Voilà quelques-unes des questions auxquelles nous allons répondre dans cet article.

Individualisation des ressources et des services

Le cloud privé (ou dédié) est une solution qui se base sur l’individualisation des ressources et des services. A l’inverse, avec une solution en cloud public, les ressources sont mutualisées. En mode privé, la sécurité est une notion centrale et incontournable. Serveurs et boîtiers HSM dédiés, accompagnement en mode projet, audits… Tout est mis en œuvre pour garantir une sécurité optimale aux données de l’entreprise. Avoir recours à du matériel dédié permet d’ajouter un cloisonnement physique en plus du cloisonnement logique. En conséquence, le niveau de sécurité des solutions augmente.

Des garanties fortes en matière de sécurité grâce au cloud privé SecNumCloud

Les solutions de partage d’Oodrive en version SecNumCloud sont installées dans une infrastructure de cloud privé sécurisée privilégiant des technologies qualifiées par l’ANSSI et répondant à l’état de l’art, telles que l’authentification par OTP (One-Time Password) ou encore le SIEM (Security Information and Event Management). Ce dernier élément permet de détecter en temps réel les incidents de sécurité.  L’offre de service SecNumCloud inclut également, et systématiquement, deux modules physiques HSM pour le chiffrement des données des utilisateurs. Leur transmission à un tiers est impossible sans l’accord du client.

SIEM : de quoi s’agit-il ?

Le cabinet d’analyses Gartner définit le SIEM comme une technologie prenant en charge la détection des menaces et la réponse aux incidents de sécurité. Cela est possible grâce à la collecte en temps réel et à l’analyse de l’historique des événements de sécurité provenant d’une grande variété de sources.

Cloud privé SecNumCloud : une vraie valeur ajoutée

Le second élément qui fait la différence entre une solution de cloud privé standard et une solution SecNumCloud est le WAF (Web Application Firewall). Un pare-feu applicatif est déployé afin de renforcer la sécurité applicative et permet d’être proactif en cas de détection de vulnérabilité. De plus, toutes les alertes remontés par celui-ci sont également envoyées au SIEM pour analyse.

secnumcloud-cloud-prive

SecNumCloud : le résultat d’un engagement de plusieurs années

Si Oodrive est aujourd’hui en mesure de proposer une offre de cloud privé SecNumCloud ce n’est pas le fruit du hasard. Cette qualification est l’aboutissement d’une démarche de qualité et de sécurité engagée il y a plusieurs années.

L’obtention de cette qualification repose sur des exigences, applicables aux acteurs de services d’informatique en nuage (Cloud Computing). Elles ont été établies par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un référentiel baptisé SecNumCloud. Ce référentiel est le fruit d’une co-construction de l’ANSSI avec des acteurs du Cloud, et plus récemment la Commission Nationale de l’Informatique et des Libertés (CNIL) : il tient ainsi compte, dans sa dernière version, du Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai dernier.

Objectif : promouvoir des prestataires de confiance

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI recommande d’utiliser les solutions disposant d’un Visa de sécurité ANSSI. Dans le cadre de cette démarche, l’agence a élaboré le référentiel SecNumCloud en vue de permettre la qualification de prestataires de services d’informatique en nuage.

Avec cette qualification, l’Agence souhaite promouvoir, enrichir et améliorer l’offre de prestataires de Cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information. Sont concernés les prestataires cloud offrant des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service) et souhaitant obtenir un visa de sécurité ANSSI.
« Le référentiel SecNumcloud conjugue ainsi des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’à la localisation des données client au sein de l’Union européenne – échelle territoriale de référence – et le droit applicable à ces données », a expliqué l’ANSSI.

Oodrive : une offre de cloud privé qualifiée

Conformément au référentiel SecNumCloud, Oodrive a mis en place et a renforcé de nombreux éléments de sécurité. Cela concerne aussi bien la sécurité physique, organisationnelle ou contractuelle. Le groupe est désormais en mesure de proposer trois solutions de Cloud Privé qualifiées SecNumCloud : iExtranet, PostFiles et BoardNox. Le groupe est désormais en mesure de proposer à ses clients, en particulier les OIV (opérateurs d’importance vitale) ou les organismes étatiques, des solutions qualifiées leur permettant de répondre aux exigences de sécurité recommandées par l’ANSSI.

Découvrir les solutions Oodrive

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager

Oodrive, le partenaire de confiance pour la gestion de vos données sensibles.

En savoir plus Nous contacter