Standards minimaux

Solutions Cloud

Chaque solution Cloud SaaS (Software as a Service) hérite du niveau de sensibilité des informations qu’elle génère, traite, stocke, met à disposition et diffuse.

En amont du choix d’une solution Cloud, veillez bien :

  • à vérifier qu’il n’existe pas un service équivalent déjà validé à l’UNIGE ;
  • à identifier avec les parties prenantes le niveau de sensibilité des informations manipulées ;
  • évaluer les avantages et inconvénients, à court terme mais également à long terme, de l’utilisation d’une solution Cloud ;

Voici les normes minimales de sécurité pour les solutions Cloud SaaS à appliquer en fonction du niveau de sensibilité ainsi déterminé :

EXIGENCE

DESCRIPTION ET RECOMMANDATIONS

Sensibilité faible

Sensibilité moyenne

Sensibilité élevée

Politique générale de sécurité du fournisseur Cloud

Un service Cloud peut être considéré comme une extension du SI de l’UNIGE. Le fournisseur du service Cloud doit donc justifier d’une politique de sécurité en adéquation avec les meilleures pratiques de sécurité (sécurité organisationnelle, systèmes, réseau, développement/applications, gestion des données, gestion des vulnérabilités et des incidents, gestion de l’identité / des accès / des autorisations (IAM), journalisation et traçabilité, administration, …)
-    Politique déclarative
-    Politique formalisée et contrôlée (en interne)
-    Politique auditée / certifiée* (à l’externe)

L’engagement du respect de la politique est contractualisé.






OUI







OUI


OUI







OUI

OUI
Chiffrement des données stockées

Les données stockées sur les systèmes du fournisseur Cloud doivent être chiffrées

  OUI OUI
Chiffrement des flux de données / HTTPS

Les échanges de données entre les systèmes du fournisseur Cloud et les utilisateurs finaux doivent chiffrées via TLS 1.2 ou supérieur

OUI  OUI OUI
Connexion des utilisateurs finaux

L’identité ISIs (compatible SAML et ADFS) doit être utilisée pour permettre une connexion SSO (sans ressaisie du mot de passe) au service Cloud.
Sensibilités faible ou moyenne : il est possible d’utiliser le service SWITCH edu-ID.
Sensibilité forte : il est recommandé d’utiliser l’authentification forte ISIs+ (compatible SAML et ADFS) ou un équivalent.

OUI OUI OUI
Connexion des gestionnaires UNIGE

Les gestionnaires UNIGE du service Cloud doivent s’authentifier fortement via ISIs+ ou toute solution jugée équivalente.

OUI OUI OUI
Sécurisation des services web

Les éventuelles interconnexions entre le service Cloud et les systèmes UNIGE doivent être sécurisés via les mécanismes suivants : authentification mutuelle préalable (pre-shared key,…), échanges chiffrés, …

  OUI OUI
Continuité d’activité

Si l’application fournit un service numérique essentiel selon la directive GCA, alors assurez-vous que les SLAs et les conditions de reprise sur incident sont définies avec le fournisseurs Cloud et contractualisées.

  OUI OUI
Gestion des logs et traçabilité

Activez la journalisation des événements et assurez-vous que les logs utiles pourront être mis à disposition de l’UNIGE en cas d’événements de sécurité (analyse forensics)

  OUI OUI
Station d’administration dédiée Accédez aux fonctions d’administration du service Cloud seulement à partir d’une station d’administration dédié. Il est possible d’utiliser un serveur de rebond.   OUI OUI
Cyberdéfense : intégration au SOC

Les logs doivent être déportés dans le Centre opérationnel de sécurité (SOC) UNIGE afin d’activer les scénarios pertinents de détection d’attaques.
À défaut, ce service peut être assuré par le fournisseur Cloud, qui devra informer l’UNIGE des détections d’attaques.

    OUI
Revue sécuritaire régulière

Des tests de type pentest doivent être effectués régulièrement par le fournisseur Cloud.
À défaut, ou de manière complémentaire, cette revue peut être confiée à l’UNIGE.

    OUI
Lois et règlements spécifiques

Le cas échéant, respectez les mesures de protection spécifiques applicables : Loi sur la santé, référentiel de données de santé (NIH, …), RGPD, engagements contractuels avec les bailleurs de fonds, …

    OUI

* Les certifications attendues par domaine sont notamment les suivantes :

  • Sécurité de l’information (ISO 27001, AICPA SOC2 SOC3, ...),
  • Cloud (ISO 27017 ou équivalent),
  • Privacy dans le Cloud (ISO 27018 ou équivalent),
  • Autres : certifications de SI, paiement (PCI-DSS), …