Conformité

Neuf référentiels. Une matrice unique. Des preuves reproductibles.

Aegis Vetis implémente nativement les référentiels applicables aux organisations régulées françaises et européennes. Chaque contrôle est tracé jusqu'à son article d'origine. Les renvois croisés entre référentiels sont documentés et reproductibles d'un audit à l'autre.

Des calendriers réglementaires qui se tendent.

Trois évolutions récentes déplacent la conformité Kubernetes d\'une bonne pratique à une exigence documentaire opposable en audit.

NIS2 — transposition en droit national

La directive NIS2 (UE 2022/2555) est entrée en application. Les entités essentielles et importantes, au sens élargi de la directive, doivent justifier d'une politique de gestion des risques cyber documentée, d'une cartographie des actifs, de mesures techniques proportionnées et d'une capacité de notification des incidents significatifs. La conformité Kubernetes, composante de la surface d'attaque moderne, relève pleinement de ces exigences.

SecNumCloud 3.2 — actualisation ANSSI

La version 3.2 du référentiel SecNumCloud durcit les exigences techniques, organisationnelles et de souveraineté applicables aux services d'informatique en nuage de confiance. Les organisations qui qualifient leur propre infrastructure de production, ou qui auditent celle de leurs prestataires, ont besoin d'outils capables d'évaluer les clusters au regard de ces exigences.

HDS — audits renforcés

La certification Hébergeur de Données de Santé a été révisée. Les contrôles portent désormais sur la traçabilité technique effective des accès, la journalisation, la gestion des vulnérabilités et la réversibilité. Les composants Kubernetes hébergeant de la donnée de santé à caractère personnel sont explicitement couverts.

Les neuf référentiels, en détail.

Pour chaque référentiel : le périmètre couvert, la profondeur actuelle d'implémentation dans Aegis Vetis, et trois exemples de contrôles représentatifs.

CIS Kubernetes Benchmark

v1.12.0

Environ 25 contrôles implémentés

Périmètre

Socle technique de durcissement Kubernetes, élaboré par le Center for Internet Security. Couvre les contrôles de configuration du control plane, des nœuds, des politiques RBAC, des Pod Security Standards et des composants réseau.

Exemples de contrôles

  • Activation de l'audit logging sur l'API server
  • Absence du flag --anonymous-auth sur les composants du control plane
  • Application stricte des Pod Security Standards sur les namespaces d'exécution

ANSSI — Guide d'hygiène informatique

Recommandations ANSSI

Environ 9 contrôles projetés sur Kubernetes

Périmètre

Recommandations transverses de l'ANSSI en matière d'hygiène des systèmes d'information, projetées sur les éléments propres aux clusters Kubernetes (gestion des comptes privilégiés, cloisonnement, journalisation, mises à jour de sécurité).

Exemples de contrôles

  • Cloisonnement réseau entre namespaces applicatifs et namespaces d'administration
  • Rotation documentée des secrets d'authentification
  • Journalisation centralisée des accès administratifs

ANSSI — Recommandations conteneurs Docker

Recommandations ANSSI

Environ 8 contrôles implémentés

Périmètre

Recommandations spécifiques de l'ANSSI pour la sécurisation des environnements conteneurisés. Couvrent la construction des images, l'isolation des charges de travail, la réduction de la surface d'attaque et la maîtrise des privilèges.

Exemples de contrôles

  • Interdiction de l'exécution de conteneurs en utilisateur root
  • Non-partage des espaces de noms hôte (PID, réseau, IPC)
  • Contrôle de l'origine des images et vérification des signatures

SecNumCloud

v3.2 (ANSSI)

Environ 11 contrôles pertinents au périmètre cluster

Périmètre

Référentiel ANSSI pour les services d'informatique en nuage de confiance. Couvrent la sécurité physique, logique, organisationnelle, la localisation, la juridiction et la réversibilité. Les éléments techniques directement mesurables au niveau d'un cluster sont couverts par Aegis Vetis ; les exigences organisationnelles relèvent du processus global de qualification.

Exemples de contrôles

  • Chiffrement des secrets au repos avec algorithme et clé maîtrisés
  • Journalisation avec horodatage de source fiable
  • Cloisonnement inter-clients vérifiable techniquement

HDS — Hébergeur de Données de Santé

Accréditation v1.6, certification 2023

Environ 9 contrôles techniques couverts

Périmètre

Référentiel applicable aux organisations hébergeant des données à caractère personnel de santé. La version actuelle renforce les exigences de traçabilité, de gestion des vulnérabilités et de réversibilité pour les infrastructures Kubernetes en charge de telles données.

Exemples de contrôles

  • Traçabilité effective des accès aux ressources portant donnée de santé
  • Gestion documentée du cycle de vie des correctifs de sécurité
  • Réversibilité des données de santé dans les formats documentés

NIS2

Directive UE 2022/2555

Environ 7 contrôles techniques couverts

Périmètre

Directive européenne relevant le niveau d'exigence en cybersécurité pour les entités essentielles et importantes. Sans être un catalogue technique à proprement parler, NIS2 impose des obligations de moyens dont la mise en œuvre est observable au niveau d'un cluster.

Exemples de contrôles

  • Politique de gestion des risques cyber documentée et vérifiable
  • Cartographie des actifs à jour dans les clusters audités
  • Capacité de notification d'incident technique documentée

RGPD

Règlement UE 2016/679

Environ 5 contrôles techniques couverts

Périmètre

Règlement européen sur la protection des données à caractère personnel. Les éléments vérifiables au niveau d'un cluster concernent la sécurité du traitement (article 32), la minimisation (article 5), la journalisation et les mesures techniques et organisationnelles.

Exemples de contrôles

  • Chiffrement en transit entre services applicatifs
  • Existence d'une journalisation permettant de documenter les accès
  • Contrôle d'accès basé sur les rôles appliqué aux ressources à donnée personnelle

BSI C5

Cloud Computing Compliance Catalogue

Environ 8 contrôles techniques couverts

Périmètre

Catalogue de l'autorité allemande BSI pour la conformité des services d'informatique en nuage. Couvre l'organisation, la gestion des actifs, le contrôle d'accès, la cryptographie, la sécurité opérationnelle et la portabilité. Utile aux organisations opérant ou consommant des clusters dans un cadre germanophone.

Exemples de contrôles

  • Gestion centralisée des identités et des accès
  • Chiffrement systématique des volumes persistants
  • Séparation stricte des environnements de production et de pré-production

EUCS

Schéma européen en élaboration (ENISA)

Environ 5 contrôles techniques pré-cadrés

Périmètre

Schéma européen de certification cybersécurité pour les services d'informatique en nuage, en cours d'élaboration par l'ENISA. Aegis Vetis implémente les contrôles les plus stables et les plus vraisemblables à la date de la présente, et s'adapte à chaque publication officielle.

Exemples de contrôles

  • Traçabilité inter-tenant documentée
  • Gestion des clés cryptographiques sous contrôle de l'organisation
  • Procédures de sortie documentées et testées

Les nombres de contrôles indiqués correspondent à la couverture actuelle d'Aegis Vetis à la date de publication. Ils évoluent avec les mises à jour du Logiciel et les révisions des référentiels publiés par l'ANSSI, l'ENISA, le CIS et le BSI.

Une exigence, plusieurs référentiels.

Un même contrôle technique répond souvent à plusieurs exigences simultanées. Aegis Vetis maintient une matrice de renvois croisés qui permet de justifier, pour un contrôle donné, l'ensemble des articles et recommandations couverts dans les référentiels applicables au Client.

  1. Source documentée pour chaque contrôle

    Chaque contrôle implémenté cite l'article du référentiel source (section, numéro, intitulé). Le lien de provenance est maintenu à chaque révision du référentiel par l'autorité qui le publie.

  2. Renvois croisés explicites

    Lorsqu'un contrôle technique répond simultanément à plusieurs exigences (par exemple NIS2, RGPD et SecNumCloud), les correspondances sont documentées dans la matrice de traçabilité. Aucun contrôle fantôme, aucune correspondance implicite.

  3. Reproductibilité des évaluations

    Les évaluations produisent un rapport horodaté et signé, exportable en PDF. La matrice de traçabilité est versionnée et exportable en format tabulaire (CSV ou JSON) pour intégration au dossier d'audit.

  4. Évolution documentée

    À chaque publication d'une nouvelle version d'un référentiel couvert (révision ANSSI, amendement ENISA, mise à jour CIS), Aegis Vetis intègre les modifications dans sa matrice et notifie les Clients sous contrat via le portail éditeur.

Nous adaptons la démonstration à votre référentiel prioritaire.

Choisissez le référentiel que vous devez servir — HDS, SecNumCloud, ANSSI, NIS2, RGPD ou combinaison — et nous vous présentons en 30 minutes la couverture correspondante d'Aegis Vetis sur un cluster représentatif.