Cybersécurité - Innovations digitales et numériques

En dehors de la médiatisation des photos de stars subtilisées, le vol de données personnelles sur iCloud posent des problèmes de sécurité, notamment pour les entreprises et les collaborateurs qui utilisent ce service. Récemment un groupe de hackers ont concocté une application nommée Doulci qui réussit à contourner le système antivol d’iCloud.

Au sein de 14 chapitres, le référentiel de l’Anssi répertorie les exigences et recommandations que les prestataires de Cloud (Saas, Iaas et Paas) devront respecter pour être qualifiés. Et propose deux niveaux de sécurité : le premier, dit élémentaire, est conforme aux impératifs propres à la politique de sécurité des systèmes d’information de l’Etat (PSSIE), tandis que le second, dit standard, permet d’assurer le traitement des données de niveau diffusion restreinte (le niveau le plus faible en matière d’information classifiée). Le référentiel prévoit notamment que le stockage et le traitement des données doivent être effectués sur le territoire. Le prestataire doit également proposer un support de premier niveau francophone et installé dans l’Hexagone, revoir au moins une fois par an sa politique de gestion des identités et de contrôle des accès ou encore revalider, à la même fréquence, les droits d’accès des utilisateurs. Cette revalidation est même trimestrielle pour les comptes à privilèges élevés, selon la version du référentiel actuellement disponible. De même, l’Anssi prévoit une généralisation du chiffrement (flux et stockage des données), y compris au niveau élémentaire.