Conformité
Neuf référentiels. Une matrice unique. Des preuves reproductibles.
Aegis Vetis implémente nativement les référentiels applicables aux organisations régulées françaises et européennes. Chaque contrôle est tracé jusqu'à son article d'origine. Les renvois croisés entre référentiels sont documentés et reproductibles d'un audit à l'autre.
Des calendriers réglementaires qui se tendent.
Trois évolutions récentes déplacent la conformité Kubernetes d\'une bonne pratique à une exigence documentaire opposable en audit.
NIS2 — transposition en droit national
La directive NIS2 (UE 2022/2555) est entrée en application. Les entités essentielles et importantes, au sens élargi de la directive, doivent justifier d'une politique de gestion des risques cyber documentée, d'une cartographie des actifs, de mesures techniques proportionnées et d'une capacité de notification des incidents significatifs. La conformité Kubernetes, composante de la surface d'attaque moderne, relève pleinement de ces exigences.
SecNumCloud 3.2 — actualisation ANSSI
La version 3.2 du référentiel SecNumCloud durcit les exigences techniques, organisationnelles et de souveraineté applicables aux services d'informatique en nuage de confiance. Les organisations qui qualifient leur propre infrastructure de production, ou qui auditent celle de leurs prestataires, ont besoin d'outils capables d'évaluer les clusters au regard de ces exigences.
HDS — audits renforcés
La certification Hébergeur de Données de Santé a été révisée. Les contrôles portent désormais sur la traçabilité technique effective des accès, la journalisation, la gestion des vulnérabilités et la réversibilité. Les composants Kubernetes hébergeant de la donnée de santé à caractère personnel sont explicitement couverts.
Les neuf référentiels, en détail.
Pour chaque référentiel : le périmètre couvert, la profondeur actuelle d'implémentation dans Aegis Vetis, et trois exemples de contrôles représentatifs.
CIS Kubernetes Benchmark
v1.12.0 Environ 25 contrôles implémentés
CIS Kubernetes Benchmark
v1.12.0Environ 25 contrôles implémentés
Périmètre
Socle technique de durcissement Kubernetes, élaboré par le Center for Internet Security. Couvre les contrôles de configuration du control plane, des nœuds, des politiques RBAC, des Pod Security Standards et des composants réseau.
Exemples de contrôles
- — Activation de l'audit logging sur l'API server
- — Absence du flag --anonymous-auth sur les composants du control plane
- — Application stricte des Pod Security Standards sur les namespaces d'exécution
ANSSI — Guide d'hygiène informatique
Recommandations ANSSI Environ 9 contrôles projetés sur Kubernetes
ANSSI — Guide d'hygiène informatique
Recommandations ANSSIEnviron 9 contrôles projetés sur Kubernetes
Périmètre
Recommandations transverses de l'ANSSI en matière d'hygiène des systèmes d'information, projetées sur les éléments propres aux clusters Kubernetes (gestion des comptes privilégiés, cloisonnement, journalisation, mises à jour de sécurité).
Exemples de contrôles
- — Cloisonnement réseau entre namespaces applicatifs et namespaces d'administration
- — Rotation documentée des secrets d'authentification
- — Journalisation centralisée des accès administratifs
ANSSI — Recommandations conteneurs Docker
Recommandations ANSSI Environ 8 contrôles implémentés
ANSSI — Recommandations conteneurs Docker
Recommandations ANSSIEnviron 8 contrôles implémentés
Périmètre
Recommandations spécifiques de l'ANSSI pour la sécurisation des environnements conteneurisés. Couvrent la construction des images, l'isolation des charges de travail, la réduction de la surface d'attaque et la maîtrise des privilèges.
Exemples de contrôles
- — Interdiction de l'exécution de conteneurs en utilisateur root
- — Non-partage des espaces de noms hôte (PID, réseau, IPC)
- — Contrôle de l'origine des images et vérification des signatures
SecNumCloud
v3.2 (ANSSI) Environ 11 contrôles pertinents au périmètre cluster
SecNumCloud
v3.2 (ANSSI)Environ 11 contrôles pertinents au périmètre cluster
Périmètre
Référentiel ANSSI pour les services d'informatique en nuage de confiance. Couvrent la sécurité physique, logique, organisationnelle, la localisation, la juridiction et la réversibilité. Les éléments techniques directement mesurables au niveau d'un cluster sont couverts par Aegis Vetis ; les exigences organisationnelles relèvent du processus global de qualification.
Exemples de contrôles
- — Chiffrement des secrets au repos avec algorithme et clé maîtrisés
- — Journalisation avec horodatage de source fiable
- — Cloisonnement inter-clients vérifiable techniquement
HDS — Hébergeur de Données de Santé
Accréditation v1.6, certification 2023 Environ 9 contrôles techniques couverts
HDS — Hébergeur de Données de Santé
Accréditation v1.6, certification 2023Environ 9 contrôles techniques couverts
Périmètre
Référentiel applicable aux organisations hébergeant des données à caractère personnel de santé. La version actuelle renforce les exigences de traçabilité, de gestion des vulnérabilités et de réversibilité pour les infrastructures Kubernetes en charge de telles données.
Exemples de contrôles
- — Traçabilité effective des accès aux ressources portant donnée de santé
- — Gestion documentée du cycle de vie des correctifs de sécurité
- — Réversibilité des données de santé dans les formats documentés
NIS2
Directive UE 2022/2555 Environ 7 contrôles techniques couverts
NIS2
Directive UE 2022/2555Environ 7 contrôles techniques couverts
Périmètre
Directive européenne relevant le niveau d'exigence en cybersécurité pour les entités essentielles et importantes. Sans être un catalogue technique à proprement parler, NIS2 impose des obligations de moyens dont la mise en œuvre est observable au niveau d'un cluster.
Exemples de contrôles
- — Politique de gestion des risques cyber documentée et vérifiable
- — Cartographie des actifs à jour dans les clusters audités
- — Capacité de notification d'incident technique documentée
RGPD
Règlement UE 2016/679 Environ 5 contrôles techniques couverts
RGPD
Règlement UE 2016/679Environ 5 contrôles techniques couverts
Périmètre
Règlement européen sur la protection des données à caractère personnel. Les éléments vérifiables au niveau d'un cluster concernent la sécurité du traitement (article 32), la minimisation (article 5), la journalisation et les mesures techniques et organisationnelles.
Exemples de contrôles
- — Chiffrement en transit entre services applicatifs
- — Existence d'une journalisation permettant de documenter les accès
- — Contrôle d'accès basé sur les rôles appliqué aux ressources à donnée personnelle
BSI C5
Cloud Computing Compliance Catalogue Environ 8 contrôles techniques couverts
BSI C5
Cloud Computing Compliance CatalogueEnviron 8 contrôles techniques couverts
Périmètre
Catalogue de l'autorité allemande BSI pour la conformité des services d'informatique en nuage. Couvre l'organisation, la gestion des actifs, le contrôle d'accès, la cryptographie, la sécurité opérationnelle et la portabilité. Utile aux organisations opérant ou consommant des clusters dans un cadre germanophone.
Exemples de contrôles
- — Gestion centralisée des identités et des accès
- — Chiffrement systématique des volumes persistants
- — Séparation stricte des environnements de production et de pré-production
EUCS
Schéma européen en élaboration (ENISA) Environ 5 contrôles techniques pré-cadrés
EUCS
Schéma européen en élaboration (ENISA)Environ 5 contrôles techniques pré-cadrés
Périmètre
Schéma européen de certification cybersécurité pour les services d'informatique en nuage, en cours d'élaboration par l'ENISA. Aegis Vetis implémente les contrôles les plus stables et les plus vraisemblables à la date de la présente, et s'adapte à chaque publication officielle.
Exemples de contrôles
- — Traçabilité inter-tenant documentée
- — Gestion des clés cryptographiques sous contrôle de l'organisation
- — Procédures de sortie documentées et testées
Les nombres de contrôles indiqués correspondent à la couverture actuelle d'Aegis Vetis à la date de publication. Ils évoluent avec les mises à jour du Logiciel et les révisions des référentiels publiés par l'ANSSI, l'ENISA, le CIS et le BSI.
Une exigence, plusieurs référentiels.
Un même contrôle technique répond souvent à plusieurs exigences simultanées. Aegis Vetis maintient une matrice de renvois croisés qui permet de justifier, pour un contrôle donné, l'ensemble des articles et recommandations couverts dans les référentiels applicables au Client.
-
Source documentée pour chaque contrôle
Chaque contrôle implémenté cite l'article du référentiel source (section, numéro, intitulé). Le lien de provenance est maintenu à chaque révision du référentiel par l'autorité qui le publie.
-
Renvois croisés explicites
Lorsqu'un contrôle technique répond simultanément à plusieurs exigences (par exemple NIS2, RGPD et SecNumCloud), les correspondances sont documentées dans la matrice de traçabilité. Aucun contrôle fantôme, aucune correspondance implicite.
-
Reproductibilité des évaluations
Les évaluations produisent un rapport horodaté et signé, exportable en PDF. La matrice de traçabilité est versionnée et exportable en format tabulaire (CSV ou JSON) pour intégration au dossier d'audit.
-
Évolution documentée
À chaque publication d'une nouvelle version d'un référentiel couvert (révision ANSSI, amendement ENISA, mise à jour CIS), Aegis Vetis intègre les modifications dans sa matrice et notifie les Clients sous contrat via le portail éditeur.
Nous adaptons la démonstration à votre référentiel prioritaire.
Choisissez le référentiel que vous devez servir — HDS, SecNumCloud, ANSSI, NIS2, RGPD ou combinaison — et nous vous présentons en 30 minutes la couverture correspondante d'Aegis Vetis sur un cluster représentatif.