FAQ

Qu’est-ce que le CSPN ?

La Certification de Sécurité de Premier Niveau (CSPN), aussi appelée « Visa de Sécurité de l'ANSSI », est une des certifications délivrées par l'Agence nationale de la sécurité des systèmes d'information pour des produits des technologies de l'information. La CSPN, mise en place par l’ANSSI en 2008, permet d’attester que le produit (logiciel, système d'exploitation, appliance, matériel...) a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI) agréé par l’ANSSI.

La CSPN consiste en des tests en « boîte noire » effectués en temps et délais contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI.

Qu’est-ce que le SecNumCloud ?

SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour renforcer la sécurité des services Cloud. Elle s’applique aussi bien à tous les opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service).

Les exigences de sécurité SecNumCloud englobe tout un référentiel de bonnes pratiques tant du point de vue technique, qu’opérationnel ou juridique. Sa conformité est vérifiée par des prestataires d’audit également approuvés pour l’ANSSI (les PASSI).

Qu’est-ce que NIS2 ?

La Réglementation NIS2 est une mise à jour de la Directive NIS adoptée par l'UE en 2016. Elle a été publiée en décembre 2020 et vise à renforcer la cybersécurité dans l'ensemble des États membres de l'UE.

Très ambitieuse, sa mise en application a pour objectif de permettre à des milliers d’entités de mieux se protéger, en particulier pour les secteurs jugés essentiels à la stabilité sociétale et économique. Elle est l’occasion de mobiliser largement le tissu économique national et le secteur public, dans un contexte de cyber menace accru.

Le périmètre de la directive NIS2 adresse plusieurs axes clés pour renforcer les capacités de défense et de réaction en matière de cybersécurité :

• Gestion des risques et mesures de sécurité: avec des procédures de gestion des risques et des mesures de sécurité appropriées pour atténuer les risques identifiés.
• Signalement et traitement des incidents : avec des protocoles spécifiques de signalement des cyberincidents pour une communication rapide et détaillée avec les autorités nationales compétentes.
• Sécurité de la chaîne d’approvisionnement : avec des procédures dédiées mettant l’accent sur la nature interconnectée des opérations commerciales modernes.
• Formation et sensibilisation à la cybersécurité : avec des programmes réguliers de formation et de sensibilisation pour favoriser la culture de la cybersécurité à tous les niveaux de l’organisation

Qu’est-ce que le RGPD ?

Adopté en mai 2018, le RGPD renforce et unifie la protection des données à caractère personnel des individus au sein de l’UE, en définissant les obligations spécifiques pour garantir la protection des données qui sont confiées aux organisations.

Il s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Le règlement définit :

• La donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
• Le traitement de données personnelles comme « une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé ».