L’Anssi a publié le 9 juillet dernier ses recommandations pour choisir les offres cloud adaptées aux entreprises et aux administrations qui détiennent des systèmes d’information sensibles. Le cloud se présente en effet autant comme une opportunité pour la transformation numérique qu’une menace avec les cybercriminels et les lois extraterritoriales.
Le cloud est à la fois une opportunité et une menace pour les entreprises. C’est une opportunité, car cette technologie se comporte comme un effet de levier pour leur transformation numérique. Par exemple, avec sa doctrine « cloud au centre », l’Etat fait de l’hébergement cloud un prérequis pour toute administration engagée dans la transformation numérique. Mais c’est aussi une menace car comme le signale l’Anssi (Agence nationale de la sécurité des systèmes d’information) dans ses Recommandations pour l’hébergement dans le cloud des systèmes d’information (SI) sensibles, « les offreurs de solutions cloud sont des cibles d’intérêt pour la conduite d’attaques informatiques ». Autrement dit, les pirates adorent les hébergeurs car ils trouvent dans leurs entrailles de silicium une concentration à nulle part pareille de données. Mais ce n’est pas la seule menace qui pèse sur les données hébergées dans le cloud. Les lois extraterritoriales en sont une autre. « Certains fournisseurs de cloud peuvent être, en effet, soumis à des législations extraterritoriales imposant le transfert des données à leurs autorités nationales », signale le rapport. Par exemple, les lois extraterritoriales américaines permettent de sanctionner n’importe quelle société, n’importe où dans le monde, notamment si ses données sont hébergées sur des serveurs aux Etats-Unis ou si un échange de courriels est passé par ces serveurs.
Etude d’impact et analyse des risques
Face à ces menaces cyber et juridiques, l’Anssi a développé un outil d’aide à la décision qui préconise quel hébergement cloud adopter en fonction du type du système d’information, de la sensibilité des données et du niveau de la menace associé. Ces recommandations s’adressent aux entreprises et administrations qui souhaitent un hébergement cloud pour leur SI « de niveau de diffusion restreinte », celles dotées de SI sensibles des « opérateurs d’importance vitale et de services essentiels » et celles, enfin, possédant des systèmes d’information d’importance vitale (SIIV). Derrière cette nomenclature se cachent des types d’offres cloud à privilégier. Mais avant de choisir, l’Anssi conseille vivement une étude d’impact, notamment métier et juridique, et une analyse de risques. Cette dernière devra examiner par exemple les risques spécifiques de l’hébergement cloud comme « l’exposition des services à Internet et la mutualisation des infrastructures avec d’autres clients. » L’agence insiste aussi sur les configurations des options de sécurité car migrer sur le cloud implique « la configuration des services de filtrage et de contrôle d’accès pour s’assurer que seules les personnes légitimes accèdent aux interfaces d’administration et de supervision de la solution cloud ». Le gendarme des systèmes d’information recommande également de prévoir une clause de réversibilité, qui permet de passer d’une solution cloud à une autre afin de « limiter la dépendance à une seule offre. » Le troisième conseil donné par l’Anssi est de former spécifiquement les équipes techniques et la chefferie de projet à l’utilisation du cloud, en particulier pour maîtriser les coûts et les délais.
Menaces stratégiques, systémiques ou isolées
Après l’étude d’impact et l’analyse des risques, la clause de réversibilité adoptée et la formation de l’équipe, il sera temps de choisir son offre cloud. L’Anssi distingue les offres cloud commerciales et celles non commerciales. Les premières se subdivisent en offre publique, privée ou communautaire et les secondes en offre interne ou communautaire. Cette typologie rend compte de la manière dont l’offre cloud est déployée. Par exemple, une offre cloud commerciale et publique est « une offre mutualisée pour l’ensemble des clients de l’hébergeur cloud » tandis qu’une offre non commerciale interne « est déployée en interne d’une entité pour ses besoins propres. »
Les menaces, et précisément celles maximales, qui pèsent sur les solutions peuvent être stratégiques (attaques menées par un Etat), systémiques (attaques cybercriminelles), hacktivistes ou isolées (déstabilisation de groupes hacktivistes ou de pirates isolés). Elles aussi déterminent vers quel type d’offre se tourner.
Enfin, le troisième paramètre pour faire le bon choix consiste à appréhender la nature des systèmes d’information. Il peut s’agir, par exemple, d’un système d’information d’importance vitale (SSIV) pour les infrastructures clés de défense, économique, de sécurité ou de capacité de survie du pays.
Un label pour les bons élèves
Pour les bons élèves, l’Anssi a développé la qualification de sécurité SecNumCloud. Tous les types de prestataires de services cloud peuvent prétendre à la qualification : logiciel en tant que service (SaaS), plateforme en tant que service (PaaS), conteneur en tant que service (CaaS) et infrastructure en tant que service (IaaS). Ce label propose « un ensemble de règles de sécurité et de bonnes pratiques d’hygiène informatique. » Les offres cloud munie de ce « visa de sécurité » comme aime à l’appeler l’agence de sécurité des systèmes d’information sont accessibles sur le site internet de l’Anssi. Attention toutefois, ce label apporte une confiance sur l’offreur mais ne présume en rien « du niveau de sécurité des services numériques des clients qui seront portés par ces offres cloud. » Ainsi l’hébergement d’un site web sur une offre qualifiée par l’Anssi ne dispense pas de sécuriser le site web lui-même, sinon le risque de compromission sera encore important… même avec l’hébergeur cloud le plus sécurisé du monde !