Le référentiel de qualification des prestataires de services d’informatique en nuage (SecNumCloud) vient enfin d’être publié par l’ANSSI. Qu’apporte t-il par rapport à une certification ISO 27001 ? Donne t-il toutes les garanties de sécurité attendues par les clients ? Nous vous proposons une analyse détaillée de ce référentiel avec en particulier un focus sur 50 exigences. Au-delà de la qualification des prestataires, découvrez comment SecNumCloud peut vous permettre d’évaluer la sécurité de vos fournisseurs.

Sommaire de la présentation

1. Historique du référentiel
   • De la version 1.3 à la version 3.0
2. SecNumCloud v3.0 et les normes ISO relatives au cloud
   • Normes ISO/IEC : 17788, 17789, 27017 et 27018
3. Focus sur 50 exigences pour les prestataires (CSP)
4. Zoom sur 4 recommandations pour les commanditaires (clients)
   • + 2 recommandations importantes additionnelles
5. Conclusion
   • Le référentiel SecNumCloud est-il pertinent ?
   • Quel usage peut-on en faire en tant que CSP ?
   • Quel usage peut-on en faire en tant que Client ?

La vidéo d’environ 45mn ainsi que les slides de la présentation sont réservés aux membres enregistrés sur le blog. N’hésitez pas à vous inscrire gratuitement ou utiliser votre compte LinkedIn, Google, Microsoft, Twitter ou Facebook pour pouvoir y accéder.
Pour les personnes non inscrites, un extrait de la présentation est disponible ici.

Les slides de la présentation

Verizon vient d’annoncer que son cloud serait arrêté pour des raisons de maintenance pendant 48 heures. L’interruption débutera le samedi 10 janvier 2015 à partir de 13 heures (Eastern Time Zone), soit 7 heures du matin en France.

Il serait intéressant d’analyser ce que prévoit le contrat Verizon sur ce sujet. Une clause indiquant un arrêt exceptionnel de 48 heures pour des opérations de maintenance a pu être insérée dans le contrat et dans ce cas, aucune contestation possible. La jurisprudence en France est très claire sur ce sujet comme l’atteste l’affaire suivante :
Une société française avait subit une importante défaillance de son service de courrier électronique opéré dans le Cloud. Le service de messagerie ayant été rétabli au bout de 5 jours, la société cliente avait alors décidé de résilier le contrat aux torts du prestataire. Mais, la société cliente sera condamnée par le Tribunal de commerce de Paris le 12 juillet 2011. Le tribunal rappelle que l’entreprise est tenue par les termes du contrat qu’elle a souscrit. Elle devra alors payer les frais de justice du fournisseur ainsi que le montant des trimestres de son abonnement restant à courir. En effet, le contrat stipulait noir sur blanc un délai d’interruption du service admissible de 30 jours maximum.

Dans le cas de Verizon, si une telle durée d’interruption n’était pas prévue, Il faut regarder ce que prévoit le contrat Verizon en matière de pénalités ou d’indemnités. Attention cependant à ne pas confondre pénalités et idemnités qui sont deux choses bien différentes. Les pénalités viennent sanctionner le client ou le prestataire lorsqu’il est à l’origine du non-respect du SLA. Les indemnités viennent réparer le préjudice subi par le client ou le prestataire lorsque l’autre partie est à l’origine du non-respect des SLA. Et si en tant que client Verizon, votre entreprise subissait par exemple une perte de CA de plusieurs dizaines de milliers d’euros pour cette opération de maintenance ?

 Autres ressources :

• Attention : le cloud Verizon sera en maintenance pour 48h
• Le Cloud de Verizon à l’arrêt pendant 48h ce week-end
• Upcoming Verizon Cloud Downtime May Be Wakeup Call for Some
• Verizon has no excuse for its planned cloud outage