Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Publication d’un arrêté renforçant la cybersécurité des SIIV

Publié au JO le 4 décembre 2016, un arrêté du 28 novembre 2016 a fixé les règles de sécurité s’appliquant aux systèmes d’information des opérateurs d’importance vitale relevant du sous-secteur “Communications électroniques et Internet”, ainsi que les modalités d’identification de ces systèmes d’information d’importance vitale (SIIV) et de notification à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des incidents de sécurité les affectant. Ainsi, tout opérateur relevant de ce sous-secteur devra communiquer à l’ANSSI la liste des SIIV prévue à l’article R. 1332-41-2 du Code de la défense, désigner un représentant auprès de l’ANSSI et communiquer une fois par an à l’Agence la mise à jour de sa liste de SIIV.

Pour lire l’arrêté sur Légifrance