Découvrez à travers cet article, les différentes recommandations d’hébergement de l’ANSSI pour les organisations disposant de systèmes d’information et données sensibles.  

Une récente étude a révélé une hausse de 1 170 % du nombre de victimes de violations de données en 2024 par rapport à 2023, soulignant une tendance alarmante dans la compromission des informations sensibles. Ces chiffres illustrent l'ampleur croissante des cybermenaces visant les données sensibles, tant au niveau mondial qu'en France, et soulignent l'importance de renforcer les mesures de cybersécurité pour protéger ces informations.

En France, l'agence nationale de la sécurité des systèmes d'information (ANSSI), l’autorité de l’Etat en matière de cybersécurité, a ce rôle de construire et d’organiser la protection de la Nation face aux cyberattaques, contribuant ainsi à « renforcer le niveau de cybersécurité global et la stabilité du cyberespace »

A travers sa doctrine « Cloud au centre », l’Etat impose aux entreprises françaises, telles que les organisations publiques, les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de services essentiels (OSE) de protéger leurs données sur un Cloud souverain de confiance. Cette mesure permet ainsi aux organisations françaises de protéger leurs données face aux lois extra territoriales, telles que le Cloud Act ou FISA.

Découvrez à travers cet article, les différentes recommandations d’hébergement de l’ANSSI pour les organisations disposant de systèmes d’information et données sensibles.  

1. Quels sont les systèmes d’information sensibles ?

Les systèmes d’information sensibles en raison des données qu’ils traitent et des services qu’ils assurent, constituent des cibles privilégiées pour des cyberattaques. L’ANSSI distingue plusieurs typologies de SI sensibles, chacun nécessitant un niveau de protection spécifique :

Systèmes d’information de niveau Diffusion Restreinte (DR) : Ces systèmes traitent des données classifiées sous le niveau Diffusion Restreinte. Leur accès est strictement contrôlé conformément aux règles établies par l’Instruction Générale Interministérielle (IGI) 1300. Une compromission de ces systèmes pourrait mettre en danger la confidentialité des informations sensibles.

Systèmes d’information sensibles relevant de la doctrine Cloud au centre de l’État : Ce sont des SI, hors SIIV, qui gèrent des données sensibles au sens de la circulaire Cloud de l’État. Ils nécessitent un hébergement souverain et sécurisé afin de prévenir toute ingérence étrangère ou violation des données.

Systèmes d’information des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) : Ces infrastructures sont associées à des secteurs stratégiques comme la santé, l’énergie, les transports ou encore les télécommunications. Ces systèmes restent hautement sensibles en raison de la nature critique des données qu’ils traitent.

Systèmes d’information d’importance vitale (SIIV) : Ces SI sont les plus critiques. Une atteinte à leur sécurité ou à leur fonctionnement pourrait avoir des conséquences graves sur la capacité de survie de la Nation, qu’il s’agisse de crises économiques majeures ou de menaces directes pour la population.

Chaque système d’information sensible requiert des mesures de protection adaptées pour assurer la sécurité des données et leur résilience face aux menaces croissantes. Cela implique notamment des choix stratégiques en matière d’hébergement, garantissant un haut niveau de protection et de souveraineté.

2. Pourquoi la souveraineté et la sécurité sont-elles essentielles pour l’hébergement ?

L’un des principaux défis de l’hébergement réside dans la protection des données sensibles contre les cybermenaces et les réglementations extraterritoriales. La mutualisation des infrastructures expose les organisations à des risques accrus, notamment :

Menaces stratégiques : les attaquants peuvent cibler ces infrastructures pour espionner ou perturber les activités sensibles.Lois extraterritoriales : certaines législations étrangères, comme le Cloud Act ou le FISA, peuvent contraindre les fournisseurs de services Cloud à divulguer des données aux autorités de leur pays sans informer leurs clients.

L’ANSSI définit des recommandations strictes pour garantir la confidentialité, l’intégrité et la souveraineté des données sensibles hébergées dans le Cloud. Leur mise en œuvre est essentielle pour renforcer la résilience des infrastructures et limiter les risques de compromission.

3. Les recommandations de l’ANSSI pour l’hébergement Cloud

Face aux risques identifiés, l’ANSSI préconise un cadre rigoureux pour l’hébergement des SI sensibles. Ces recommandations tiennent compte de la typologie des SI, du niveau de menace et des exigences spécifiques de chaque infrastructure.

SI sensibles de niveau Diffusion Restreinte (DR)

L’ANSSI recommande l’utilisation d’offres Cloud hébergés en SecNumCloud, notamment des solutions non commerciales (internes et communautaires) ou des infrastructures dédiées pour assurer un contrôle total.

L’objectif est d’éviter la latéralisation des attaques, c'est-à-dire la propagation d’un attaquant depuis l’environnement d’un client vers un autre sur une même plateforme Cloud.

SI sensibles relevant de la doctrine Cloud au centre de l’État

Ces SI doivent être hébergés exclusivement dans des offres Cloud SecNumCloud, qu’elles soient internes, privées, communautaires ou publiques. L’hébergement sur un Cloud étranger ou non certifié représenterait un risque juridique et sécuritaire pour la souveraineté des données étatiques.

SI des OIV et OSE

L’ANSSI préconise systématiquement le recours à des offres Cloud qualifiées SecNumCloud, sans restriction sur le type d’offre (privée, publique, communautaire ou interne). Ce choix vise à limiter les risques d’interruption de service et à renforcer la résilience face aux cybermenaces.

SI d’Importance Vitale (SIIV)

En raison de leur sensibilité élevée, ces SI doivent être soumis à une décision éclairée de la part du responsable de l’entité avant toute externalisation dans le Cloud. Pour ces infrastructures, l’ANSSI recommande en priorité :

Des offres Cloud non commerciales ou des solutions commerciales privées bénéficiant d’une infrastructure dédiée.Une analyse de risques approfondie pour démontrer que l’externalisation ne compromet pas la sécurité nationale.Le respect strict des obligations réglementaires encadrant les SIIV, notamment en matière de protection contre les menaces étatiques.

Le respect de ces recommandations est un levier stratégique pour assurer la protection des SI sensibles face aux menaces. En s’appuyant sur des solutions hébergées en SecNumCloud, les organisations peuvent également limiter les risques, renforcer leur conformité et garantir la confidentialité de leurs données critiques.

4. L’importance des solutions sécurisées de collaboration et de partage de fichiers hébergées en SecNumCloud

L’ANSSI recommande l’hébergement des SI sensibles sur des infrastructures qualifiées SecNumCloud, garantissant un haut niveau de sécurité et de souveraineté. Ce référentiel concerne aussi les solutions qui y sont hébergées, validant ainsi leur conformité aux standards les plus stricts. C’est pourquoi ERCOM a développé des offres d’hébergement SecNumCloud pour ses deux solutions : Cryptobox et Citadel Team.

Cryptobox : sécuriser le partage et le stockage des fichiers

La solution Cryptobox, hébergée sur le SecNumCloud 3.2 d’OUTSCALE , offre une protection avancée pour les OIV, OSE et administrations :

Stockage et partage de fichiers ultra-sécurisés grâce au chiffrement de bout en bout.Solution conforme aux exigences ANSSI, assurant l’intégrité des données sensibles jusqu’au niveau Diffusion Restreinte (en cours de renouvellement).

Citadel Team : protéger les communications sensibles

La solution Citadel Team, hébergée sur le SecNumCloud 3.2 d’OUTSCALE, garantit des échanges sécurisés pour les entreprises et administrations :

Messagerie, appels, audio et visioconférences sécurisées, en cours de certification CSPN.Confidentialité des messages, appels et pièces jointes partagées grâce au chiffrement de bout en bout.

Conclusion

Dans un contexte où les cybermenaces se multiplient, la sécurisation des systèmes d’information sensibles et le choix d’un hébergement sécurisé sont des enjeux majeurs. L’ANSSI impose des exigences strictes pour garantir la protection et la souveraineté des données, en privilégiant l’hébergement pour les SI sensibles et en recommandant en complément l’utilisation de solutions hébergées en SecNumCloud, telles que Cryptobox et Citadel Team.

Adopter une approche conforme à ces recommandations permet aux organisations de renforcer leur sécurité, d’assurer la confidentialité de leurs informations stratégiques et de se prémunir contre les risques liés aux lois extraterritoriales.