Actualités

Evénement 20 ans : annonces à propos du renouveau de LSTI

La semaine dernière, LSTI a célébré ses 20 ans au siège du Groupe Apave à La Défense, en présence de ses clients et partenaires. À cette occasion, plusieurs annonces importantes ont été faites. Retour sur cet événement marquant.

Après un discours de Philippe Maillard, PDG d’Apave, et une rétrospective des vingt années d’activité de LSTI, Armelle Trotin et Philippe Bouchet, fondateurs de LSTI, ont annoncé leur départ, et la reprise par le groupe Apave, déjà actionnaire de LSTI.

La direction générale de LSTI sera reprise par Julien Bruant, actuel directeur des opérations. Lors de cette soirée, il a souligné que cette passation de témoin avec Armelle Trotin s’inscrivait dans une logique de continuité où LSTI continuera de remplir son rôle d’organisme de certification et de centre d’évaluation auprès de ses clients dans un contexte où la cybersécurité et la confiance numérique seront des enjeux majeurs pour les années à venir.

Une mission qui s’inscrit pleinement dans la raison d’être du groupe Apave : être un acteur de confiance pour un monde plus sûr, durable et porteur de progrès partagé.

Pour ses 20 ans et pour marquer son intégration au groupe Apave, LSTI va revêtir une nouvelle identité visuelle à partir de janvier qui a été dévoilée en avant-première.

Cet événement s’est clôturé par un moment d’échange autour d’un cocktail dinatoire avec nos partenaires et clients.

Moyen d’Identification Electronique : tout sur la qualification MIE

Cette année 2023 a été marquée par les premiers certifiés PVID et ISO/IEC 30107, une avancée dans l’histoire de la certification des produits et services d’identification électronique.

Outre le référentiel PVID de l’ANSSI, les différentes normes ISO/IEC et le règlement européen eIDAS, il existe en France une autre certification possible pour les entreprises qui dispensent un service d’identification électronique : la certification des Moyens d’Identification Électronique (MIE). Focus sur ce cadre législatif made in France.

Qu’est-ce que la certification MIE ?

La certification des MIE est basée sur l’article L. 102 du code des postes et des communications électroniques, qui introduit la notion de présomption de fiabilité. Ce texte intègre également des mentions issues du règlement eIDAS concernant les exigences de sécurité des Moyens d’Identification Électronique.

Cette certification s’adresse à toute entreprise fournissant un service ou produit d’identification électronique.

Le cahier des charges d’évaluation de ces MIE, ainsi que de leur présomption de fiabilité, a été déterminé par l’ANSSI en juillet 2022.

Trois niveaux de garantie ont été fixé, répondant aux spécificités techniques et procédurales : faible, substantiel et élevé. Attention, l’ANSSI ne délivre pas de certification pour tout MIE visant le niveau de garantie faible.

Bien que le passage de cette certification se fasse sur une base volontaire, son caractère devient obligatoire si une entreprise souhaite que son MIE bénéficie de la présomption de fiabilité.

Elle est peut-être également une première étape dans le cadre d’une qualification eIDAS.

Le rôle de LSTI

Cette certification est accordée par l’ANSSI basée sur l’évaluation de conformité réalisé par un Prestataire d’Audit de la Sécurité des Systèmes d’Information ou un organisme certificateur accrédité par le Cofrac.

En tant qu’Organisme d’Évaluation de Conformité accrédité ISO/IEC 17065, LSTI réalise les évaluations de conformité selon le référentiel et le cahier des charges déterminés par l’ANSSI.

L’évaluation en conformité se fait en 2 étapes, et l’ANSSI certifie l’audité sur le niveau substantiel ou élevé uniquement, sur la base de l’évaluation fournie par LSTI.

 

Pour toute information ou demande de devis, notre formulaire de contact rubrique certification d’entreprise est à votre disposition.

Également plus d’informations sur le site de l’ANSSI.

Prestataire de Réponse aux Incidents de Sécurité : focus sur la qualification PRIS

LSTI est reconnu par l’ANSSI pour procéder à l’évaluation des prestataires de réponse aux incidents de sécurité (PRIS). Très actif durant la phase d’expérimentation avec l’Agence, LSTI a évalué la majorité des prestataires candidats. Mais qu’est-ce que la qualification PRIS et à qui peut la passer ?

Qu’est-ce que la qualification PRIS ?

Le référentiel d’exigences PRIS est composé de différentes règles et exigences que les prestataires doivent appliquer s’ils souhaitent obtenir cette qualification. Il porte aussi bien sur la réponse aux incidents, qu’au personnel du prestataire et au déroulement de ses services.

De plus, elle permet d’identifier et mettre en avant les entreprises capables d’assurer le niveau de réponse aux incidents de sécurité exigé par la Loi de Programmation Militaire (LPM) de 2019-2025, ce qui rend l’obtention de la qualification PRIS exigeante.

Comme pour d’autres qualifications de l’ANSSI, le processus de qualification PRIS est composé de différents jalons permettant de jauger du niveau d’expertise du candidat. La dernière étape de l’évaluation consiste à réaliser une prestation témoin en conditions réelles, afin de valider les procédures et leur application.

Qui peut prétendre à passer cette qualification ?

Cette qualification est à destination des prestataires qui offrent des services de réponse aux incidents, pour leur propre compte ou celui de leurs clients. Les CERT (Computer Emergency Response Team) sont typiquement les candidats pour l’obtention de cette certification, notamment s’ils souhaitent accompagner des OIV ou OSE.

Ils peuvent être qualifiés sur les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.

Afin d’obtenir ce titre, les candidats doivent répondre aux 213 exigences, 153 points de contrôle et 66 preuves documentaires, listés dans le référentiel PRIS.

Obtenir cette qualification garantit le niveau technique, organisationnel et de sécurité d’une organisation en matière de réponse aux incidents. Cette certification est importante pour identifier les prestataires fiables et permet de renforcer la sécurité de la communauté.

L’approche méthodique mise en place par LSTI dans le cadre et dans le respect du processus de qualification de prestataires de services défini par l’ANSSI, tout comme la bonne compréhension des exigences issues du référentiel PRIS (de l’ANSSI) ont été précieuses dans le processus de qualification du CSIRT LEXFO.

Tout en faisant preuve d’une grande impartialité, la disponibilité, la réactivité et l’adaptabilité des experts de LSTI ont été très appréciées de l’équipe de réponse à incidents de LEXFO qui a pu répondre et satisfaire aux exigences du processus de qualification dans une atmosphère sereine et constructive.

Par ailleurs, l’équipe administrative de LSTI a également fait preuve d’une grande réactivité dans la gestion de notre dossier, nous faisant gagner un temps précieux dans le déroulement de notre processus de qualification.

Sébastien Chaudron, directeur du CSIRT LEXFO

Comment se passe le processus de qualification ?

Les exigences sont vérifiées lors d’un audit sur site et la réussite à des examens écrits et oraux par le personnel du prestataire.

L’obtention de la qualification atteste du respect par le prestataire candidat :

  • des exigences relatives au prestataire de réponse aux incidents (Protection de l’information au niveau Diffusion Restreinte),
  • des exigences relatives au déroulement d’une prestation de réponse aux incidents,
  • de la compétence de ses analystes pour les activités qualifiées.

Cette certification est délivrée pour une durée de trois ans sur la base d’un rapport d’inspection, sous réserve d’un audit de surveillance à 18 mois suivant la certification initiale ou le renouvellement. La validité des résultats aux examens est également de trois ans.

Plus d’informations sur notre page dédiée.

Retour d’expérience : focus sur un organisme de formation partenaire

ORSYS, membre historique de notre réseau de partenaires de formation, est un organisme de formation leader français de la formation aux technologies numériques, management, développement personnel et aux métiers de l’entreprise, qui accompagne depuis plus de 45 ans les entreprises et les organisations dans l’amélioration de leurs performances et dans la réussite de leurs transformations digitale, managériale, commerciale et organisationnelle.

Dans le cadre de notre partenariat, ORSYS propose des formations pour préparer les examens de certification Auditor/Lead Auditor ISO/IEC 27001, Implementer ISO/IEC 27001 et Risk Manager ISO/IEC 27005.

Afin de présenter ORSYS et ses relations avec LSTI, nous laissons la parole à Serge Gueguen, responsable de l’Offre certifications & ORSYS Cyber Academy.

 

  • Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’organisme de formation ORSYS).

J’ai débuté ma carrière en 1988 dans une SSII en tant qu’analyste programmeur. Ensuite, j’ai exercé la fonction de formateur en organisme de formation de 1995 à 2016 puis en tant qu’indépendant entre 2016 et 2017, année de mon entrée chez ORSYS en tant qu’ingénieur pédagogique. De 2018 à 2022 j’étais responsable de l’évolution de l’offre de formation en technologies numériques – dont notamment le domaine de la cybersécurité. Aujourd’hui, j’occupe à la fois le poste de responsable de l’offre certifications et de la ORSYS Cyber Academy.

 

  • En quoi consiste la ORSYS Cyber Academy ?

Cette académie rassemble en un seul point d’entrée toute l’offre de formation ORSYS en matière de cybersécurité : des formations en présentiel, en distanciel, de l’e-learning, des séminaires, des cours pratiques, des formations avec certification à la clé, des parcours de formations diplômant ou pas, de la reconversion professionnelle… Au total, c’est plus de 170 formations ! Toutes animées par des professionnels de terrain expérimentés.

 

  • Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez aux examens de compétences de personnes LSTI ?

Réalisme, professionnalisme et reconnaissance.

 

  • Pourquoi avoir choisi de devenir partenaire de formation LSTI ?

C’est un choix stratégique et historique qui remonte à une époque, au milieu des années 2000, où très peu de certifications existaient en matière de cybersécurité.

 

  • Comment voyez-vous le partenariat LSTI/ORSYS à l’avenir ?

Parti pour durer pour de nombreuses années avec toujours plus de nouvelles certifications que nous pourrons ajouter à notre catalogue !

 

Pour LSTI, avoir un réseau d’organismes de formation de qualité afin d’encadrer au mieux nos candiat·es et futures certifié·es fait partie de nos valeurs : la confiance, la qualité, l’expertise et l’indépendance. Ces experts en formation qualité et cyber font partie de notre réseau car ils ont des valeurs similaires.

Pour vos besoins de formation avant de passer un de nos examens en ligne, consultez notre page Formations agrées.

ISO/IEC 30107 : Un schéma de certification pour produits et services biométriques

Mai 2023 est marqué par le lancement officiel du schéma de certification sur la norme ISO/IEC 30107 fait en partenariat avec CLR Labs, avec notre premier certificat émis pour le produit VideoIdent de IDnow.

Mais qu’est-ce que la norme 30107 ? Comment fonctionne le partenariat LSTI/CLR Labs sur ce schéma de certification ? Qui est concerné par cette certification ? Voici quelques éléments de réponses.

La norme

Publiée en 2017, la norme ISO/IEC 30107 définit les mesures de sécurité et les tests à réaliser pour la prévention et la protection des systèmes de vérification d’identité à distance.

Elle pose la définition des attaques possibles lors de la capture de données biométriques dans le cadre de la vérification d’identité. Ces attaques sont appelées « Presentation attacks », et les mécanismes pour les détecter sont nommés « Presentation Attacks Detection » ou PAD. C’est pour cette raison qu’elle couvre aussi bien les mesures de sécurité à mettre en place, que les tests à effectuer pour évaluer leur sûreté.

La certification

Le schéma de certification sur cette norme est possible grâce au partenariat entre CLR Labs et LSTI.

Tous les tests et travaux d’évaluation sont réalisés par CLR Labs, qui effectue notamment des attaques de présentation (attaques type 1) mais aussi des test par injection de données biométriques (attaques type 2).

LSTI intervient ensuite pour évaluer la conformité de ces évaluations et émettre le certificat ISO/IEC 30107 du produit ou service évalué.

À ce jour, ce schéma de certification est le seul existant en Europe. Jusqu’à la création de cette initiative, audits, tests et évaluation en conformité étaient de mise sur le territoire européen. Une possibilité de certification existait, mais l’offre en question est américaine.

Une offre de certification made in Europe est donc maintenant sur le marché pour certifier et garantir les offres de vérification d’identité à distance.

Les produits et services concernés

Ce schéma de certification peut s’appliquer à̀ de nombreux produits et services tels que :

  • Les stations et cabines d’enrôlement d’identité,
  • Les portes automatiques de passage aux frontières,
  • Les lecteurs biométriques,
  • Les systèmes « entry-exit »,
  • Les « Digital Wallets »,
  • Les fournisseurs de services de confiance,
  • Et tous autres produits intégrant des technologies biométriques.

Elle s’adresse donc à toute entreprise dans le domaine de la vérification d’identité à distance qui souhaitent offrir une garantie supplémentaire sur la sûreté de leurs produits et services.

Pour plus d’informations, nous contacter.

Le communiqué de presse

Qualification PVID : 1 an après, où en est-on ?

Il y a un an, nous ajoutions à notre offre l’évaluation des services de Vérification d’Identité à Distance « PVID », selon le référentiel publié par l’ANSSI et dans le même temps la certification selon la spécification technique de l’ETSI TS 119 461 pour les Identity Proofing Service Provider « IPSP ».

Être qualifié PVID en France est un moyen de répondre à 3 exigences réglementaires :

  • La certification au titre du [DECRET_2020-118] des services d’entrée en relation d’affaires à distance ;
  • La qualification des services de confiance au titre du règlement eIDAS lorsque ces derniers recourent à une vérification d’identité à distance (article 24 1 d) ;
  • L’évaluation de la conformité des moyens d’identification électronique au titre du règlement eIDAS et leur certification au titre de l’article L.102 du CPCE, pour les niveaux de garantie substantiel et élevé, lorsque ces derniers recourent à une vérification d’identité à distance.

En Europe, la certification à la norme ETSI TS 119 461 permet notamment de déclarer que la prestation de vérification d’identité à distance fournit une garantie équivalente en termes de fiabilité à la présence en personne (article 24 1 d).

Pour proposer une prestation complète (évaluation de la conformité et tests informatiques et physiques de l’efficacité biométriques), LSTI s’est associé avec les sociétés STELAU et CLR Labs.

Bilan sur cette activité, un an après :

  • Au niveau national

LSTI SAS et ses partenaires STELAU et CLR Labs ont réalisé plusieurs évaluations PVID. Les décisions de qualification devraient être prochainement publiées.

  • Au niveau européen

LSTI Worldwide, filiale de LSTI SAS, a également démarré la certification de conformité à la norme ETSI 119 461 pour différents prestataires dans différents États-membres dont certains ont légiféré sur le sujet. Le premier certificat ETSI 119 461 a été délivré par LSTI début juillet 2022.

FIC 2022 : notre retour sur l’édition de cette année

Cette année, nous avons participé au Forum International de la Cybersécurité : nous étions présents sur le stand Oppida. Retour sur l’un de nos auditeurs présents sur le forum et les éléments clés.

Les faits qui nous ont marqués lors de cette édition :

  • Le thème de cette année était l’Europe, des zones dédiées à des pays européens et beaucoup d’entreprises européennes étaient présentes sur ce forum, mais également des acteurs venus de beaucoup plus loin. L’internationalisation du FIC ne cesse d’augmenter, comme le prouve également la prochaine édition à Montréal en novembre. Cela appuie la dimension internationale du secteur, et ouvre toujours plus de possibilités ;
  • Le dernier discours de Guillaume Poupard en tant que Directeur général de l’ANSSI, qui a mentionné l’augmentation des cyber-attaques, dont l’essentiel frappe des institutions étatiques, mais aussi les entreprises autres que les OIV, qui ont fortement travaillé sur leur cyberdéfense et cyber-résilience. Le domaine de la cybersécurité est donc encore en phase de croissance et porteur d’activités, avec un besoin de recrutement important qui peine à être comblé.

Nicolas Langeard a rejoint récemment LSTI pour assurer des missions de responsable d’audit dans le domaine de la Cyber. Il était présent le 2e jour du forum. Il a accepté de faire part de son expérience au salon. Découvrez son témoignage.


Bonjour Nicolas. Peux-tu te présenter brièvement ?

Bonjour ! J’ai rejoint la société LSTI en mai 2022 en tant que responsable d’audit sur les référentiels cyber. Du fait de mes expériences acquises durant plus de 24 ans, j’aspirai à pouvoir être acteur sur les qualifications PASSI, PDIS et PRIS. Je vais également intervenir sur des audits ISO/CEI 2700.

J’ai travaillé pour le ministère des armées pendant plus d’une vingtaine d’année durant lesquelles j’ai fait de nombreux audits de SI sensibles, en métropole et en missions extérieures. J’ai également travaillé pour l’agence cybersécurité de l’OTAN (NCIRC) basée à Mons en Belgique pendant 3 ans. J’ai fini ma carrière militaire au sein de la cellule forensique du Centre d’Analyse de Lutte Informatique Défensive (CALID) à Rennes en tant qu’analyste cybersécurité confirmé et enquêteur technologies numériques (N’Tech).

De septembre 2019 à mars 2022, j’ai travaillé pour l’entreprise AMOSSYS en tant que responsable des activités d’audit et de conseil en cybersécurité. J’ai réalisé des audits de type PASSI LPM en tant que RA et auditeur organisationnelle et physique pour différents OIV.

Combien de fois as-tu participé au FIC ?

En comptant ma journée de présence au salon FIC 2022, cela fait ma 5ème participation.

Un habitué donc ! As-tu constaté une évolution au fil des années ?

Je trouve très intéressant que le FIC intègre dans le programme de sa première journée, la 8ème conférence CORIIN organisée par le CECyF (Centre Expert contre la Cybercriminalité Français) sur la réponse aux incidents et l’investigation numérique. De nombreux retours de la part d’experts sur l’emploi d’outils forensiques et/ou leurs expériences opérationnelles étaient à l’ordre du jour.

Jusqu’en 2020, le FIC avait bien lieu à Lille mais courant du mois de janvier ce qui permettait de ne pas se télescoper avec d’autres évènements en cybersécurité.

Quels ont été les points forts de l’édition 2022 pour toi ?

Cette édition 2022 était très orientée vers l’Europe et ses capacités actuelles et futures en cybersécurité. Les multiples projets législatifs (NIS2, cyber-résilience, e-evidence, sécurité des produits, DMA, DSA…) ont régulièrement été abordés. Le domaine de l’évaluation sera très certainement impacté par le programme « Décennie numérique » de la Commission européenne lancé en mars 2022.

Qu’est-ce qui a manqué à cette édition selon toi ?

Une météo plus clémente et des fontaines d’eau à disposition des visiteurs/exposants au sein du Grand Palais.

Ton ressenti sur le stand Oppida/LSTI ?

J’ai fortement apprécié échanger avec différents profils de visiteurs sur les sujets de la certification (CC, CSPN), des différentes qualifications (PASSI, PRIS, PDIS, PSCE, PSHE, …) et sur les obligations lors d’audit ayant pour référentiel la Loi de Programmation Militaire.

Un mot pour la fin ?

Mon constat 2022 sur les salons / conférences cyber en France est qu’il y a beaucoup d’événements rapprochés sur la période du mois de juin (FIC, STIIC, Hack in Paris, …). Il devient compliqué de pouvoir se libérer professionnellement afin d’y assister.

Focus sur la norme ISO/CEI 27001

L’ISO/IEC 27001 est une norme internationale sur la gestion de la sécurité de l’information. À l’origine, elle a été publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI ou IEC en anglais) en 2005, puis révisé en 2013. Une mise à jour européenne a été publiée en 2017.

Le titre officiel de cette norme est « Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences »

Cette norme précise les exigences pour l’organisation, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Le but d’un SMSI est d’aider les organisations à sécuriser leurs données et informations (telles que leurs informations financières, leur propriété intellectuelle, les données sur leurs employés ou des informations confiées par des tiers).

Les organisations qui satisfont à ces exigences peuvent choisir d’être évaluées par le biais d’un audit afin d’être certifiées par un organisme de certification accrédité, tel que LSTI.

ISO/IEC 27001:2013 comporte dix clauses courtes et une longue annexe, qui couvrent les éléments suivants :

  1. Champ d’application de la norme
  2. Comment le document est référencé
  3. Réutilisation des termes et définitions dans ISO/IEC 27000
  4. Contexte organisationnel et parties prenantes
  5. Leadership en matière de sécurité de l’information et soutien de haut niveau aux politiques
  6. Planification d’un système de gestion de la sécurité de l’information, l’évaluation des risques, traitement des risques
  7. Soutenir un système de gestion de la sécurité de l’information
  8. Rendre opérationnel un système de gestion de la sécurité de l’information
  9. Examen des performances du système
  10. Action corrective
    Annexe A : Liste des contrôles et leurs objectifs

Comme toute autre norme de système de management, être certifié ISO/CEI 27001 est tout à fait possible mais pas obligatoire. Certaines entreprises choisissent de mettre en œuvre cette norme pour bénéficier des bonnes pratiques qu’elle contient, tandis que d’autres décident de se faire certifier pour rassurer leurs clients.

Cette norme est le référentiel de référence pour notre prestation entreprise, ainsi que les examens auditor/lead auditor 27001 et implementer 27001.

eIDAS : qu’est-ce qui se cache derrière cet acronyme ?

L’augmentation des demandes de certifications eIDAS depuis sa création a boosté notre activité en Europe. LSTI a même fondé sa filiale, LSTI Worldwide, dont l’activité principale est l’évaluation de la certification eIDAS, en 2016. Mais qu’est-ce que la réglementation eIDAS ?

« eIDAS » est l’abréviation de « electronic IDentification And Trust Services ». Il fait référence à une gamme de services spécifiques qui incluent la vérification de l’identité des particuliers et des entreprises en ligne et la vérification de l’authenticité des documents électroniques. Pour simplifier, il assure des transactions transfrontalières sécurisées.

Cette norme a été établie dans le règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et abroge le règlement 1999/93/CE du 13 décembre 1999. Le règlement eIDAS est applicable dans toute l’UE depuis le 1er juillet 2016.

Les services de confiance couverts par eIDAS comprennent :

Services qualifiés eIDAS

  • Signatures électroniques avancées et qualifiées associées à une personne morale ou physique ;
  • Cachets électroniques avancés et qualifiés associés à une personne morale ;
  • Validation qualifiée pour les signatures électroniques qualifiées et les cachets ;
  • Conservation qualifiée des signatures électroniques qualifiées et des cachets ;
  • Horodatage ;
  • Services de livraison électronique ;
  • Authentification de sites internet.

 

Le but d’avoir des services qualifiés et de confiance est d’augmenter la confiance dans l’utilisation des transactions électroniques grâce à des mécanismes – tels que la vérification de l’identité des particuliers et des entreprises en ligne ou la vérification de l’authenticité des données électroniques – qui sont plus présents dans nos activités de nos jours.

Les entreprises qui ont été qualifiées selon les normes eIDAS pour leurs services sont appelées Trust Service Providers (TSP).

Notre activité, ainsi que celle de LSTI Worldwide, est d’auditer et d’évaluer les entreprises qui fournissent les services mentionnés ci-dessus. Sur la base du résultat de leur audit, une entreprise peut être qualifiée de fournisseur de services de confiance et se voit attribuer un certificat prouvant sa fiabilité et la qualité de ses services.

Tous les clients du groupe LSTI évalués et qualifiés en tant que TSP peuvent être trouvés sur notre registre en ligne, ou sur demande via le formulaire de contact (sélectionnez Communications comme sujet).

Plus d’informations sur notre page dédiée et sur les sites européens suivants :

Qualification SecNumCloud : qu’est-ce que c’est ?

La certification des prestataires d’informatique en nuage SecNumCloud constitue une de nos offres « Certification cyber » pour entreprises.

Mais qu’est-elle exactement et à qui s’adresse-t-elle ?

La qualification SecNumCloud est délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) sur la base d’une évaluation documentaire suivi d’un audit sur site réalisé par des auditeurs habilités par l’ANSSI et agréés par LSTI.

Le référentiel d’exigences utilisé est une évolution du label Secure Cloud édité en 2016. Il a connu une modification en 2018 pour être en accord avec le RGPD.

Mais quelles sont donc les différences avec une certification ISO/CEI 27001 ?

Cette qualification est accordée par l’ANSSI après une évaluation documentaire puis un audit sur site. Elle s’adresse à tous les types d’entreprises qui réalisent des prestations d’informatique en nuage pour leur propre compte ou pour le compte de ses clients. Elle peut être délivré pour les services IaaS (Infrastructure as a Service), SaaS (Service as a Service) et PaaS (Platform as a Service).

Le référentiel d’évaluation, d’un haut niveau en termes d’exigences de sécurité est constitué de bonnes pratiques de sécurité, de règles d’habilitation du personnel, d’exigences de sécurité des locaux, des process et des réseaux.

La qualification est délivrée pour trois ans au maximum moyennant des audits de surveillance chaque année. L’automne dernier, la version 3.2.a du référentiel a été publiée en septembre 2021 sur leur site. Ces modifications sont perçues comme majeures, par l’ajout d’entreprises de CaaS (Container as a Service), et la question de l’immunité aux lois extracommunautaires.
La version définitive 3.2 a été publiée le 9 mars 2022 sur le site de l’ANSSI.

Plus d’informations sur notre page dédiée et sur le site internet de l’ANSSI ou contactez-nous avec le sujet « information certification d’entreprise » en précisant dans votre message la qualification SecNumCloud.

Scroll to top