Le comité technique de normalisation CEN/CLC/JTC 13 Cybersecurity and data protection a publié, en avril 2024, la spécification technique CEN/CLC TS 18026 Three-level approach for a set of cybersecurity requirements for cloud services. Ce document fournit un ensemble d’exigences en matière de cybersécurité et de sécurité de l’information, échelonnées selon trois niveaux de sécurité, pour les prestataires de services informatiques Cloud. Il servira en particulier de référentiel technique en support au schéma de certification européen portant sur ces services, en cours de préparation par l’ENISA dans le cadre du Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité, ou CSA).
Les exigences couvrent l’ensemble de l’organisation du prestataire - englobant des sujets tels que l’organisation de la sécurité de l’information, les ressources humaines, ou la gestion des actifs informatiques - en plus de considérations purement liées à la cybersécurité des environnements Cloud, comme la ségrégation des espaces clients et le contrôle de l’accès aux données de ces derniers. Par ailleurs, il y a un fort alignement avec d’autres normes internationales reconnues, telles que les normes ISO/IEC 27001: Information security, cybersecurity and privacy protection — Information security management systems — Requirements et ISO/IEC 27002: Information security, cybersecurity and privacy protection — Information security controls. Quant aux trois niveaux de sécurité envisagés, ils correspondent aux trois niveaux d’assurance – ‘élémentaire’, ‘substantiel’ et ‘élevé’ - indiqués dans le CSA.
Rappelons que dans le cadre du CSA, l’ILNAS a été désigné National Cybersecurity Certification Authority (NCCA) au Luxembourg. Pour toute question relative au CSA ou aux schémas de certification associés, vous pouvez nous contacter à l’adresse suivante : supervision-cybersecurite@ilnas.etat.lu. De plus, l’ILNAS propose à tout acteur intéressé du marché de participer au processus d’élaboration de normes techniques telles que la CEN/CLC TC 18026 en offrant la possibilité de s’inscrire comme délégué national.