Infos SSL et sécurité réseaux

Archive mensuelles: décembre 2016

La liste des prestataires de détection d’incidents de sécurité (PDIS) en cours de qualification est disponible

Les prestataires de détection d’incidents de sécurité interviennent pour collecter des événements au sein d’un système d’information, les analyser et notifier leurs commanditaires des incidents détectés.
Suite à un appel à candidature en janvier 2015, huit sociétés ont été sélectionnées pour participer à la phase expérimentale pour la qualification en tant que prestataires de détection d’incidents. Leur évaluation en conditions réelles, au regard du référentiel, a été menée de décembre 2015 à septembre 2016.

Le référentiel est à présent en cours de mise à jour pour intégrer les retours de la procédure expérimentale en vue de l’ouverture prochaine de la phase nominale de qualification.
Les prestataires de détection d’incidents ayant participé à cette procédure expérimentale, et qui ont déroulé l’ensemble des étapes de celle-ci, sont inscrits dans la nouvelle liste des prestataires de détection d’incidents en cours de qualification.
Les prestataires de détection d’incidents souhaitant obtenir une qualification, et intégrer à terme cette liste, peuvent contacter l’ANSSI : qualification(AT)ssi.gouv.fr.

La qualification, qui permet d’attester de la conformité du prestataire de détection d’incidents, sera délivrée par l’ANSSI suite à une évaluation opérée par des centres d’évaluation agréés à cet effet par l’ANSSI.
Les organismes qui souhaitent procéder à l’évaluation des prestataires de détection d’incidents de sécurité et devenir ainsi centres d’évaluation agréés sont invités à contacter l’ANSSI à l’adresse qualification(AT)ssi.gouv.fr

 

Powered by WPeMatico

ESCloud – Un label franco-allemand pour les services d’informatique en nuage de confiance

escloud_logoLe label ESCloud, lancé ce jour par le directeur général de l’ANSSI et le président du BSI, rapproche des initiatives nationales, le référentiel SecNumCloud en France et le catalogue C5 en Allemagne, pour faire émerger un socle de confiance franco-allemand .

Cette initiative permettra à l’ensemble des acteurs européens de faire appel à des prestataires de service cloud de confiance. En effet, le cloud computing (ou informatique en nuage) est une tendance de fond pour nos entreprises, nos administrations et nos concitoyens mais il pose de véritables défis quant à la maîtrise des données, au respect de leur confidentialité et de la vie privée.

 

ESCloud s’appuie sur quinze règles techniques et organisationnelles qui visent à garantir le sérieux des initiatives nationales partenaires, le niveau de sécurité des solutions labélisées ainsi que le traitement et le stockage des données sur le territoire européen. Ce cœur de référentiel a été élaboré sur la base de l’expérience de la France et de l’Allemagne en matière de certification et de qualification de produits et de services de sécurité et sur l’expertise acquise par l’ANSSI et le BSI dans le champ de la cybersécurité. Sa mise en place s’inscrit dans une dynamique visant à promouvoir l’émergence de solutions de confiance au sein de l’espace européen.

poupard-schonbohm_signature_escloud_credit_bdeA l’occasion de cette signature le président du BSI Arne Schönbohm a déclaré « En phase avec la stratégie de cybersécurité, le gouvernement fédéral étend les activités relatives aux labels et certifications de sécurité informatique. Le label commun Cloud franco-allemand est le fruit de cette stratégie et en même temps l’expression et la confirmation de la coopération franco-allemande menée avec succès depuis des années pour plus de cybersécurité dans le numérique. Le label ESCloud est à disposition du marché et crée une base commune pour plus de coopération en Europe et plus de confiance dans le monde digital« .

Guillaume Poupard, directeur général de l’ANSSI, a ajouté : « L’ANSSI et le BSI travaillent ensemble déjà depuis des années au renforcement de la sécurité informatique en Allemagne, en France, et aussi au niveau européen. Le label franco-allemand de cloud computing sécurisé ESCloud est un très bon exemple de cette coopération, car il associe des initiatives nationales et améliore ainsi la cybersécurité en Europe« .

En établissant ce label commun pour la sécurité du cloud, la France et l’Allemagne posent ensemble les fondations d’une autonomie stratégique pour l’Europe dans le numérique.

 

 

Crédit photo : Ministère fédéral de l’intérieur allemand

 

Powered by WPeMatico

SecNumCloud – La nouvelle référence pour les prestataires d’informatique en nuage de confiance

Le nouveau référentiel SecNumCloud de l’ANSSI, aujourd’hui publié, couvre les services d’informatique en nuage (Cloud Computing) et vise la qualification de prestataires proposant de tels services.

Secure Cloud devient SecNumCloud

L’Anssi a procédé à une phase expérimentale, dont l’objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel, alors baptisée  Secure Cloud, publiée en septembre 2014.

Suite à un appel public à candidature en septembre 2014, neuf prestataires de services d’informatique en nuage ont été sélectionnés par l’Anssi pour participer à la phase expérimentale. Leurs évaluations au regard du référentiel ont été menées par trois centres d’évaluation sous l’observation de l’Agence de mars 2015 à novembre 2016. Le référentiel a été mis à jour pour prendre en compte le retour d’expérience de cette phase expérimentale.

Le référentiel d’exigences évolue vers deux documents :

  • Le premier, publié aujourd’hui, contenant les exigences du niveau « Essentiel »
  • Le second, qui sera publié ultérieurement, contenant les exigences du niveau « Avancé » (anciennement Secure Cloud Plus)

Ces documents seront susceptibles d’évoluer à la marge pour refléter les évolutions techniques du domaine de l’informatique en nuage.

La qualification permet d’attester la conformité d’un prestataire aux exigences du référentiel.

Pour autant la conformité d’un service d’informatique en nuage au niveau « Essentiel » n’atteste pas de sa conformité à la Politique de sécurité des systèmes d’information de l’État (PSSIE). Les exigences qui permettent à un service d’informatique en nuage d’être conforme à la PSSIE seront définies dans le référentiel d’exigences pour le niveau « Avancé » dont la publication est prévue prochainement.

Les organismes qui souhaitent procéder à l’évaluation de la conformité des prestataires au référentiel sont invités à se rapprocher de l’Anssi.

De même, les prestataires qui souhaitent obtenir la qualification de leur service sont invités à se rapprocher de l’Anssi.

La liste des prestataires en cours de qualification ou qualifiés est disponible sur le site web de l’ANSSI.

Powered by WPeMatico

Cybersécurité des OIV : de nouveaux arrêtés sectoriels

Ils entreront en vigueur au 1er janvier 2017 et concernent les secteurs suivants :

Les arrêtés fixent, pour les OIV des secteurs concernés, un certain nombre de mesures prévues par les articles L. 1332-6-1 et suivants du Code de la défense :

  • des règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV) ;
  • des modalités d’identification des SIIV et de notification des incidents de sécurité affectant ces SIIV.

La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation.

Des informations complémentaires sur la sécurité des systèmes d’information des OIV sont présentées dans la rubrique « OIV » du site Internet de l’ANSSI, accessible depuis les onglets « administrations » et « entreprise ».

Powered by WPeMatico