C3A : ce que les nouveaux critères de la BSI signifient pour les RSSI
Pendant longtemps, la „souveraineté numérique“ a été un concept plutôt abstrait dans les documents stratégiques - une valeur cible sans métrique claire. Mais avec la publication de la Critères d'établissement de l'autonomie en matière de cloud computing (C3A) par l'Office fédéral de la sécurité des technologies de l'information (BSI), les règles du jeu changent. Pour les RSSI et les directeurs informatiques, cela signifie que la souveraineté passe directement du coin philosophique à la gestion opérationnelle des risques et à l'audit de conformité. Pour les organisations soumises à la réglementation NIS 2, les C3A offrent une base méthodologique permettant d'identifier et d'évaluer systématiquement les dépendances dans la chaîne d'approvisionnement.
Avec la finalisation de la Critères d'établissement de l'autonomie en matière de cloud computing (C3A) par le BSI, l'indépendance opérationnelle des services de cloud computing est désormais au cœur de la gestion des risques.
Du bénéfice du doute à la validation technique
C3A : pourquoi la souveraineté numérique devient une mesure mesurable dans la gestion des risques
Jusqu'à présent, la base de la sécurité du cloud était la norme d'essai C5. Elle fournit une excellente base pour la sécurité de l'information, mais laisse largement de côté la question des dépendances et de l'accès légal. C'est précisément là que les C3A interviennent. Ils ne définissent pas la souveraineté comme un état binaire, mais comme un spectre en six dimensions : de la souveraineté stratégique à l'autonomie opérationnelle en passant par la souveraineté des données.
En particulier dans le contexte de la Réglementation NIS 2 les critères gagnent en importance. Selon Article 21 NIS-2 les entreprises sont tenues de garantir la sécurité de leurs chaînes d'approvisionnement. Celles qui utilisent des services cloud doivent désormais démontrer comment elles évaluent leur dépendance vis-à-vis des juridictions non européennes et les risques qui y sont liés (mot-clé : US Cloud Act).
Les six dimensions de la souveraineté du cloud
Le BSI divise la souveraineté en :
Souveraineté stratégique : Capacité d'action à long terme et prévention des effets de verrouillage.
Souveraineté juridique : protection contre les accès non autorisés en provenance de pays tiers (par exemple, US Cloud Act).
Souveraineté des données : Contrôle de l'ensemble du cycle de vie des données.
Souveraineté opérationnelle : Assurer le fonctionnement et la souveraineté administrative.
Souveraineté de la chaîne d'approvisionnement : Transparence sur les sous-traitants et les composants.
Souveraineté technologique : la disponibilité d'alternatives et l'interopérabilité.
Exigences en matière de personnel selon SOV-4-01-C2
Un critère de la dimension opérationnelle concerne l'accès à l'infrastructure en nuage. Le niveau d'exigence SOV-4-01-C2 stipule que tous les employés du prestataire de services en nuage disposant d'un accès logique ou physique aux ressources doivent obligatoirement avoir la Citoyenneté d'un État membre de l'UE et de leur Résidence au sein de la République fédérale d'Allemagne doivent avoir. Cette réglementation vise à maximiser l'accessibilité juridique et le contrôle opérationnel par les autorités nationales de sécurité.
Le critère „Disconnect“ et l'obligation de contrôle annuel
Le critère SOV-4-09-C exige qu'un service cloud reste intègre et disponible même si la connexion avec des instances extra-européennes est interrompue. Les entreprises qui revendiquent ce niveau de souveraineté sont soumises à une obligation de contrôle annuel. Il doit être prouvé techniquement que l'instance locale reste autonome. Il s'agit d'un facteur important pour augmenter la résilience, en particulier dans les secteurs KRITIS.
Classement réglementaire : un cadre d'action plutôt qu'une loi
Pour l'évaluation des risques, il est essentiel de savoir quelle est la force juridique contraignante applicable :
MST-NCD : La norme minimale pour l'utilisation de services externes de cloud computing est, conformément au § 44 BSIG, applicable aux Administration fédérale obligatoire.
C3A : Pour les entreprises du secteur privé, y compris les CRITIS et les entités réglementées par la NIS 2, les C3A agissent en tant que cadre d'orientation non juridiquement contraignant. Elles peuvent toutefois être utilisées comme catalogue d'exigences dans les appels d'offres ou pour remplir les obligations de diligence dans la gestion des risques.
Mise en œuvre par l'EASM et le VRM
La validation technique de ces critères s'effectue par une combinaison de la gestion de la surface d'attaque externe (EASM) et de la gestion des risques du vendeur (VRM).
Géolocalisation des actifs : Les analyses EASM détectent les composants d'infrastructure dans les juridictions qui vont à l'encontre des objectifs de souveraineté (par exemple, le Shadow IT dans des pays tiers).
Surveillance de la chaîne d'approvisionnement : Les workflows VRM automatisent la consultation des six dimensions C3A auprès des prestataires de services. Cela permet une surveillance continue des paramètres de souveraineté tout au long du cycle de vie de la relation commerciale.
Mesures de protection et recommandations d'action
Pour satisfaire aux critères de la BSI et aux exigences de la directive NIS2, les entreprises devraient donner la priorité aux mesures suivantes :
Évaluer et documenter systématiquement les fournisseurs de cloud selon les critères de souveraineté du BSI
Concevoir les contrats avec les fournisseurs de services cloud de manière à garantir la souveraineté des données et la possibilité de les auditer
Appliquer systématiquement les mesures techniques telles que le cryptage et les contrôles d'accès
Surveiller et documenter en permanence l'inventaire des actifs et les flux de données
Réaliser des audits réguliers pour démontrer la conformité aux critères BSI et aux exigences NIS2
Mettre en place des processus pour garantir le contrôle des données et des systèmes en cas de changement de fournisseur.
C3A-Évaluer et démontrer la conformité
LocateRisk aide les entreprises à évaluer la souveraineté de leurs services cloud et à gérer efficacement les preuves réglementaires. La plateforme permet de surveiller en permanence les fournisseurs de cloud et les fournisseurs et d'identifier les risques pertinents à un stade précoce. L'inventaire des actifs permet de représenter de manière transparente les flux de données et les paysages de systèmes, ce qui est nécessaire pour les audits et les contrôles de conformité selon la norme NIS2. Plus d'informations sur la méthodologie sous Gestion du risque vendeur Vérifiez si vos actifs et fournisseurs externes répondent aux exigences techniques actuelles de la BSI et de la NIS2 : Analyse gratuiteDémarrer le projet
La norme C5 est un excellent outil pour tester la sécurité de l'information, mais elle s'adresse en premier lieu aux objectifs de protection de la confidentialité et de l'intégrité. Les C3A vont un peu plus loin : ils évaluent la dépendance. Alors que C5 confirme que la porte d'entrée est fermée à clé, les C3A examinent qui possède le double de la clé et si le propriétaire peut bloquer l'accès unilatéralement. Pour les entreprises, cela signifie que l'on passe d'un simple contrôle de sécurité à une évaluation de l'autonomie opérationnelle et de l'accessibilité juridique.
Le BSI exige ici, pour le niveau le plus élevé, du personnel ayant un domicile fixe en Allemagne. Un simple „hébergement en Allemagne“ perd de sa valeur si le support administratif est assuré depuis des juridictions soumises au US Cloud Act. Les données se trouvent certes localement, mais le contrôle de celles-ci se déplace à l'étranger via des interfaces de gestion. Les RSSI doivent ici exiger une validation technique au lieu de se fier à des promesses globales de fournisseurs.
EASM sert de correctif technique. L'identification de tous les systèmes connectés à Internet et leur géolocalisation permettent de mettre immédiatement en évidence les écarts par rapport à la stratégie de souveraineté. Si des instances cloud ou des points finaux de communication apparaissent soudainement dans des régions qui ne correspondent pas au géofencing convenu, cela devient immédiatement visible. Cela transforme la souveraineté d'une clause statique dans le contrat de service en un processus pouvant être surveillé en permanence.
Les scanners de vulnérabilité traditionnels attendent souvent des semaines avant d'enrichir les données de la NVD (National Vulnerability Database). Pendant ce temps, l'infrastructure cloud n'est pas protégée. Notre site Intelligence préemptive comble cette période en identifiant les failles critiques dès le jour de leur publication. C'est essentiel pour l'autonomie du cloud : seul celui qui connaît ses vulnérabilités plus rapidement que l'attaquant conserve le contrôle opérationnel de ses systèmes et évite la perte de contrôle due à une infiltration externe.
Compte tenu de la complexité des architectures de cloud modernes, l'examen manuel des fournisseurs via des questionnaires statiques ne garantit plus la sécurité des processus. Un VRM automatisé permet de surveiller en permanence les six dimensions du C3A. Au lieu de demander une fois par an une „intuition“, LocateRisk fournit des preuves basées sur des données concernant l'état de la sécurité et l'emplacement des prestataires de services. Ceci est particulièrement important pour le respect de la Obligations de diligence NIS 2 dans la chaîne d'approvisionnement est le seul moyen de minimiser efficacement les risques de responsabilité pour le management.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.
Français 
Deutsch 
English