Actualité

Certification continue de sécurité pour les services cloud

25 avril 2022
MEDINA

« MEDINA met en œuvre une certification continue de haute sécurité fondée sur des preuves numériques pour les prestataires de services cloud. »

La nouvelle loi européenne sur la cybersécurité vise à améliorer la confiance des clients sur le marché européen des TIC

L’action en matière de recherche et d’innovation de MEDINA, soutenue par le programme européen H2020, crée un cadre de sécurité pour obtenir une certification continue fondée sur des audits pour les CSP, en tenant compte du schéma de certification de cybersécurité de l’UE pour les services cloud. MEDINA relève les défis dans des domaines tels que la validation et les tests de sécurité, les langages de certification lisibles par des machines, la performance de la sécurité dans le cloud et la gestion des preuves d’audit pour :

  • Guider la mise en œuvre des contrôles EUCS, y compris les mesures à appliquer et les preuves à recueillir, ce qui permet de réduire la durée du processus de certification.
  • Appuyer la vérification automatisée de la conformité des contrôles dans les principaux schémas de certification de sécurité dans le cloud, ce qui réduit les efforts, les coûts et les risques liés à l’obtention et à la conservation d’une certification.
  • Réduire les efforts de collecte et d’évaluation des preuves numériques.
  • Assurer un enregistrement des preuves vérifiables pour garantir qu’elles n’ont pas été manipulées pendant la validité du certificat.

L’approche et l’ensemble des outils de MEDINA seront évalués dans deux cas d’usage du cloud dans le monde réel couvrant les trois modèles de services : IaaS, PaaS et SaaS. D’une part, Bosch va déployer un scénario pour la certification européenne de backends multicloud pour solutions IoT et d’autre part, Fabasoft va valider un audit continu de solutions SaaS pour le secteur public.

MEDINA sensibilisera également aux avantages du cadre de sécurité fourni dans le contexte de la loi européenne sur la cybersécurité, en soutenant des activités liées à la formation, à la sensibilisation et aux activités de normalisation pertinentes au niveau européen (par exemple, ENISA EUCS).

Les CSP, prestataires de services cloud, ont souvent recours aux certifications de sécurité pour améliorer la transparence et la fiabilité. Les CSP européens continuent de faire face à de multiples difficultés pour certifier leurs services : la fragmentation du marché de la certification et le manque de reconnaissance mutuelle.

Schéma européen de certification de cybersécurité pour les services cloud

La nouvelle loi européenne sur la cybersécurité vise à améliorer la confiance des clients envers le marché européen des TIC grâce à un schéma européen de certification de la cybersécurité pour les services cloud (EUCS). Ce schéma de certification soulève de nouveaux défis technologiques en raison de sa notion de « niveaux de garantie » qui doivent être résolus afin que les prestataires et les clients obtiennent tous les bénéfices escomptés.

Le consortium MEDINA, dirigé par TECNALIA, réunit un ensemble équilibré de partenaires universitaires et industriels qui jouent un rôle clé dans l’écosystème de certification de la sécurité du cloud. Ces partenaires sont des centres de recherche (TECNALIA, Consiglio Nazionalle delle Ricerche, Fraunhofer), des prestataires du cloud (Bosch, Fabasoft), des prestataires technologiques (Hewlett Packard Enterprise, XLAB) et des auditeurs (Nixu).

En savoir plus sur MEDINA

Le projet MEDINA contribue à la politique européenne de certification de sécurité dans le cloud, améliore la fiabilité des services grâce au respect des schémas de certification de sécurité, coopère avec les parties prenantes et aide l’Europe à se préparer aux défis de sécurité.

Le consortium MEDINA a terminé la première moitié de ce projet de 36 mois et progresse rapidement vers ses prochaines étapes. Jusqu’à présent, le travail a porté sur la définition de l’architecture générale de MEDINA, ainsi que sur le développement du cadre intégré (technologies et processus) qui sera validé par les cas d’usage de Bosch et Fabasoft.

Les outils développés par MEDINA incluent le service de préparation à la certification fondé sur les risques et le catalogue des exigences et des mesures de sécurité, qui sont des outils essentiels pour la surveillance continue et automatisée définie dans l’EUCS et d’autres schémas de certification.

* Ce projet a été financé par le programme de recherche et d’innovation Horizon 2020 de l’Union européenne en vertu de l'accord nº 952633.

Technologies associées

Cybersécurité