Une entité essentielle ou importante peut-elle héberger ses systèmes d’information (SI) dans le cloud ?
L’ANSSI proposera une transposition des mesures de sécurité décrites dans les articles 20 et 21 de la directive NIS 2 de façon à protéger les systèmes d’information, quelle que soit la technologie utilisée pour les mettre en service, qu’ils utilisent les services d’informatiques en nuage (cloud) ou non. Il n’est donc pas interdit, par principe, de basculer ses SI dans le cloud. En revanche, il revient bien à l’entité de s’assurer que les objectifs de sécurité sont atteints dans ce cas.
L’évolution des usages conduisant les entités à s’interroger sur la sélection d’offres de cloud adaptées en fonction des types de SI, l’ANSSI a développé des recommandations pour l’hébergement dans le cloud qui visent à préciser, en fonction du type de SI, de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. Néanmoins, les recommandations ne s’appliquent pas aux SI classifiés et tous les SI n’ont pas vocation à recourir aux solutions cloud.
Le document constitue un outil d’aide à la décision pour les entités envisageant un hébergement cloud. Il est disponible sur le site de l'ANSSI à l'adresse suivante : recommandations pour l'hébergement des SI sensibles dans le cloud
L’ANSSI considère que cette décision, devant être éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risque, relève bien de la responsabilité de l’entité.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
L’évolution des usages conduisant les entités à s’interroger sur la sélection d’offres de cloud adaptées en fonction des types de SI, l’ANSSI a développé des recommandations pour l’hébergement dans le cloud qui visent à préciser, en fonction du type de SI, de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. Néanmoins, les recommandations ne s’appliquent pas aux SI classifiés et tous les SI n’ont pas vocation à recourir aux solutions cloud.
Le document constitue un outil d’aide à la décision pour les entités envisageant un hébergement cloud. Il est disponible sur le site de l'ANSSI à l'adresse suivante : recommandations pour l'hébergement des SI sensibles dans le cloud
L’ANSSI considère que cette décision, devant être éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risque, relève bien de la responsabilité de l’entité.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 23/07/2024
Merci !