Chez Scalingo, la protection des données et la confidentialité des utilisateurs sont au cœur de nos valeurs. Nous travaillons sans relâche pour offrir à nos utilisateurs une expérience qui les rend sereins en ce qui concerne la confidentialité et la sécurité de leurs données.
Dans cet article, notre objectif est de creuser un peu plus le sujet et de clarifier notre politique en matière de protection et de sécurité des données, notre stratégie concernant les différentes normes et certifications, et nos objectifs à venir pour Scalingo.
TL;DR : Nous visons à obtenir ISO 27001 pour Scalingo en tant qu'organisation, et HDS simultanément pour nos services. Cela fait partie de notre prochain objectif qui est SecNumCloud, la certification de niveau le plus élevé dans ce domaine que nous pouvons obtenir pour le moment.
Avant de creuser notre stratégie, définissons quelques termes en posant les questions les plus courantes sur le sujet.
Les normes et les certifications agissent comme un intermédiaire entre Scalingo et l'utilisateur final. C'est une validation d'une tierce partie, qui démontrera que nos pratiques en termes de sécurité du système et de confidentialité des données sont cohérentes avec les normes attendues.
Pour les personnes non aguerries, la sécurité de l'information, c'est se faire pirater et voir ses données fuir à l'extérieur. C'est un incident de confidentialité.
La sécurité de l'information va bien au-delà de la confidentialité.
Les piliers de la sécurité de l'information sont connus sous le nom de "triade CIA" :
Si vous avez un problème lié à l'un de ces piliers, vous avez un problème de sécurité de l'information.
Les normes ISO ont une valeur internationale et sont reconnues par de nombreux experts. Elles sont élaborées par l'Organisation internationale de normalisation.
La norme ISO 27001 est la norme de gestion de la sécurité de l'information et vise à fournir des exigences aux organisations en ce qui concerne leur système de gestion de la sécurité de l'information (SMSI).
Un SMSI peut être défini comme un ensemble de règles écrites sous la forme de politiques, de procédures ou d'autres documents, afin d'appliquer la sécurité de l'information (vous vous souvenez de la "triade de la CIA" ?).
La mise en place d'un SMSI nécessite de travailler sur de nombreux sujets profondément liés à votre entreprise : gestion des risques, politiques de sécurité, gestion des actifs, cryptographie, sécurité physique et environnementale, relations avec les fournisseurs, etc.
Pour nos collègues développeurs, n'ayez pas peur ! Un système de gestion de la sécurité de l'information c'est comme du code qui serait exécuté sur du papier.
La certification HDS signifie "Hébergeur de Données de Santé".
HDS est une certification française axée sur la protection de la confidentialité des données personnelles, notamment des données de santé.
L'un des principaux axes de cette certification est de garantir la qualité et la continuité du service.
Ce type de données est sensible et son hébergement implique des responsabilités considérables, c'est pourquoi des certifications telles que HDS permettent aux organismes de santé de s'assurer que leur prestataire répond aux normes de sécurité, de disponibilité et de confidentialité requises pour ce type de pratique. Il est d'ailleurs obligatoire en France de faire appel à un prestataire certifié HDS pour héberger des données de santé.
La norme ISO 27001 fait partie des exigences pour obtenir la certification HDS.
En ce qui concerne les certifications spécifiques au cloud, SecNumCloud est la dernière certification délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information).
La principale différence entre SecNumCloud et ISO 27001, est que dans ce cas, le référentiel définit les mesures ciblées à appliquer pour exploiter les services de cloud de manière sécurisée, alors qu’ISO 27001 impose la mise en œuvre de processus basés sur la norme.
En d'autres termes, ISO 27001 servirait de base pour définir et identifier le processus à mettre en œuvre, tandis que SecNumCloud donne les exigences techniques pour exploiter les services Cloud de manière sécurisée.
SecNumCloud est la certification de niveau le plus élevé pouvant être obtenue dans le domaine en France, et par conséquent, le processus d'obtention de cette certification est difficile.
Une partie de la certification SecNumCloud (ainsi que d’ISO 27001) consiste à évaluer la sécurité d'un produit et la compétence d'un fournisseur, ce qui implique des engagements tels que la confidentialité et la protection des données de l'utilisateur, l'évaluation des vulnérabilités et la correction des faiblesses, ainsi que le maintien constant du niveau de compétence en mettant l'accent sur la souveraineté des fournisseurs et le maintien du traitement des données dans le cadre du droit européen.
Bien que SecNumCloud soit une certification créée par un organisme public français, nous pouvons constater l'émergence d'un intérêt pour les certifications liées à l'industrie du Cloud au niveau européen.
L'exemple le plus récent est le travail de l’ENISA (European Union Agency for Cybersecurity) pour créer le label EUCS pour European Cybersecurity Certification Scheme for Cloud Services. Ce label s'adresse aux fournisseurs de clouds européens afin de permettre au marché européen d'accéder à des fournisseurs fiables et de confiance.
D’après ce que nous avons compris, SecNumCloud sera un des fondements du label européen EUCS. Elle servira de base au standard le plus élevé du label EUCS. Ce qui nous fait dire qu'investir aujourd'hui sur SecNumCloud sert également à avancer vers une future certification européenne.
Pour mieux comprendre notre stratégie et ce qu'elle implique pour Scalingo et ses utilisateurs, nous allons entrer un peu plus en profondeur dans notre stratégie en tant que fournisseur de cloud européen.
Scalingo vise à obtenir ISO 27001 et HDS ensemble car ce sont 2 normes proches.
Quant à SecNumCloud, ce sera l'étape suivante de cette stratégie, et ce sera notre priorité dès que nous aurons obtenu ISO 27001 et HDS.
Pour comprendre notre choix stratégique pour les certifications, il faut d'abord prendre en compte la nature de chaque norme et certifications.
Nous considérons que la norme ISO 27001 serait la plus utile à notre base d'utilisateurs en raison de sa nature internationale et du fait qu'il s'agit de la certification qui peut apporter de la valeur à pratiquement tous les utilisateurs.
C'est également une certification obligatoire pour obtenir HDS et, compte tenu de ces éléments, nous pensons que la norme ISO 27001 devrait être notre première étape vers la stratégie de certifications que nous visons.
Pour HDS, bien que cela ne concerne pas la plupart de nos utilisateurs, nous pensons que c'est un ajout précieux à Scalingo pour les utilisateurs qui peuvent en avoir besoin, surtout sachant qu'il est très difficile de trouver un PaaS qui soit certifié HDS !
Cela représente également une couche supplémentaire de validation par un tiers pour Scalingo, ce qui signifie que même si la plupart des utilisateurs n'hébergeront pas de données liées à la santé, ils hébergeront quand même leurs données sur un service qui est considéré comme sûr pour l'hébergement de données de santé.
Enfin, concernant SecNumCloud, qui est notre prochaine étape dans cette stratégie de certification. Nous pensons qu'elle ne peut qu'améliorer nos normes en termes d'SMSI et d'évaluation des risques, et nous considérons qu'il s'agit d'une certification précieuse à obtenir car Scalingo vise à héberger des données gouvernementales plus sensibles. L'obtention de la certification ISO 27001 fait partie intégrante de notre feuille de route SecNumCloud.
La norme ISO 27001 s'appliquera à Scalingo en tant qu'organisation, tandis que HDS et SecNumCloud s'appliqueront aux différents services que nous fournissons.
L'expérience utilisateur restera la même, et ces certifications et normes sont pour nous l'occasion de façonner un nouveau niveau de confiance et de sécurité pour nos utilisateurs.
Bien que Scalingo ne soit pas encore certifié ISO 27001 et SecNumCloud, notre fournisseur Outscale fournit en fait un IaaS qui est déjà certifié :
osc-fr1
est basée sur un IaaS fourni par Outscale qui est certifié ISO 27001 et HDS.osc-secnum-fr1
également fournie par Outscale, est basée sur un IaaS certifié ISO 27001, HDS, et SecNumCloud.Cela signifie que bien que Scalingo ne soit pas certifié ISO 27001 (pour le moment), tous nos services sont sur un IaaS fourni par Outscale qui est certifié ISO 27001.
Et pour nos utilisateurs qui en ont besoin, Scalingo PaaS offre une région basée sur un fournisseur certifié SecNumCloud, et vous pouvez déjà héberger vos applications et vos données sur cette infrastructure certifiée.
Notre stratégie de certification s'articule autour de quatre aspects principaux, qui sont : la sécurité, la confiance, la transparence et la souveraineté.
Notre objectif est d'obtenir la certification ISO 27001 et HDS dans un premier temps, puis SecNumCloud dans un second temps.
Chez Scalingo (avec nos partenaires), nous utilisons des traceurs sur notre site.
Certains, essentiels et fonctionnels, sont nécessaires au bon fonctionnement du site et ne peuvent pas être refusés.
D'autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité.