L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « CyberSecurity Act ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5 en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.

Niveaux

Le schéma prévoit 3 niveaux :

• Basique
• Substantiel
• Elevé

Le schéma est basé sur la norme ISO 17065 qui définit les exigences portant sur les compétences, la cohérence des activités et l'impartialité des organismes de certification (que ce soit pour la certification des produits, des procédés ou des services). On retrouve ainsi le CAB (Conformance Assessement Body) qui l’entité en en charge de la certification dans la norme. L’ENISA reprend par ailleurs les définitions du Cloud issues de la norme ISO 17788. Le schéma pourra être utilisé par les fournisseurs, les clients mais aussi les régulateurs. Il est à noter que l’ENISA prévoir d’utiliser certains niveaux des critères communs.

Méthodes d’évaluation

Le « Cyberact » précise dans l’article 51 les objectifs de sécurité de la certification. Le groupe de travail de l’ENISA a repris ces exigences en produisant le tableau de correspondance ci-après avec les domaines qui sont prévus dans la certification.

Source : ENISA

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :