Accueil Cybersécurité Cloud Week Paris – Le Cloud à l’épreuve du RGPD : les...

Cloud Week Paris – Le Cloud à l’épreuve du RGPD : les qualifiés de l’ANSSI en cours, l’Europe prépare sa certification

A l’occasion de la Cloud Week Paris et des Rencontres du Cloud qui ont eu lieu ce 3 juillet dans les salons de l’Hôtel Intercontinental à Paris, la matinée a fait la part belle au “Cloud de confiance”, et aux diverses certifications liées pour assurer sécurité et protection des données. 

Une première table ronde sur le sujet du Cloud et du RGPD s’interrogeait : les fournisseurs de Cloud sont-ils conformes au nouveau règlement général européen sur la protection des données ? Vincent Strubel, sous-directeur Expertise à l’ANSSI, a rappelé qu’il y a peu de temps encore, il y avaient “peu d’offres et peu de prescripteurs“, alors que “l’on a des acteurs réfractaires aux risques“. Le responsable a souligné que le référentiel SecNumCloud, qui vise des solutions de Cloud recommandées par l’ANSSI, était donc passé à l’heure du Règlement général sur la protection des données (RGPD) : il inclut désormais des exigences relatives à la protection des données répondant aux attentes des entreprises, des administrations et des collectivités.

Vincent Strubel

Une dizaine d’ajouts, d’une ligne ou deux, ont été associés à ce référentiel, a précisé Vincent Strubel. Olivier Iteanu, Avocat, a glissé au passage que ce référentiel portait d’ailleurs tout autant sur des points techniques que juridiques.
Les certifications sont en cours, et d’aucuns, dont Olivier Iteanu, évoquent le nom d’Oodrive qui serait en tête de liste… Les processus de validation sont exigeants, et Vincent Strubel a indiqué à ce propos que pour les autres certifications, le taux d’échec était de 50 % lors du premier passage. Le processus devrait aboutir à l’automne, a déclaré Vincent Strubel. Olivier Iteanu a interrogé le responsable de l’ANSSI : “Y aura-t-il un référentiel avancé ?” Vincent Strubel a répondu : “On attend d’avoir une vision claire pour avancer“, évoquant le cas de certaines données de l’Etat, judiciaires par exemple, ou de la santé. Plus tôt dans la matinée, Mounir Mahjoubi, le secrétaire d’Etat au numérique, venu présenter la stratégie Cloud de l’Etat, avait indiqué de son côté : “La labelisation SecNumCloud permet aux entreprises de se revendiquer d’un niveau de sécurité à la française. Ce label a pris de la valeur car il est exigeant“. “Nous avons fait SecNumCloud  pour apporter la confiance.
Pour Igor Babic, Data protection officer (délégué à la protection des données) chez Axa, troisième homme de cette table ronde, les diverses certifications en matière de sécurité et de protection des données sont extrêmement importantes. “Nos sous-traitants doivent nous prouver leur conformité, a-t-il dit. Et nous préférons que nos sous-traitants disposent de certifications plutôt que de prendre notre bâton de berger et d’aller les auditer“. Pour le responsable de la sécurité des données, un label est une aide à la fois pour les fournisseur et pour le client.

Pierre Chastanet

Et au niveau de l’Europe, qui pousse volontairement au Cloud ? Lors d’une autre intervention en fin de matinée, Pierre Chastanet, Head of Unit Cloud & Software à la Commission Européenne, a affiché sur scène un Powerpoint listant un nombre pléthorique de certifications de sécurité…
Trop de certifications sécurité dans le Cloud serait illisible, a-t-dit. Nous proposons un cadre européen pour développer une certification sécurité cloud européenne“. Et de mentionner SecNumCloud et C5, le référentiel de l’Office fédéral de la sécurité des technologies de l’information, homologue allemand de l’ANSSI, dont on a compris que l’Europe pourrait s’inspirer… “Les européens regardent nos initiatives”, avait indiqué précédemment Mounir Mahjoubi.