L’ANSSI apporte enfin un éclairage à l’hébergement Cloud des SI sensibles

C’est un document qui aurait dû exister depuis longtemps, au moins depuis l’annonce de la stratégie « Cloud au Centre » de l’état et sa notion de « Cloud de Confiance ». L’ANSSI vient enfin de publier des recommandations claires, accessibles et attendues, pour guider les DSI dans l’hébergement Cloud des applications et données sensibles.

Cloud de confiance, SecNumCloud, pour qui, pour quelles données… L’ANSSI vient de publier un guide d’aide à la décision auquel bien des DSI aspiraient. Dénommée “Recommandations pour l’hébergement dans le Cloud des Systèmes d’Information sensibles“, cette aide à la décision développe toute une série de recommandations autour du Cloud, des données sensibles, et des offres Cloud à considérer en fonction du type d’organisation, du type de système d’information (SI), de la sensibilité des informations et du niveau de la menace.

Le guide s’adresse en priorité aux SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV). Mais il peut aussi offrir des éclairages utiles à tout DSI même si l’ANSSI rappelle également que « tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud ». Par ailleurs, il est important de noter dès à présent que ces recommandations ne s’appliquent pas aux « systèmes d’information classifiés ».

L’ANSSI insiste sur quelques prérequis

L’ANSSI constate que « le cloud computing est une technologie particulièrement structurante pour nos usages numériques… Ce constat s’explique notamment par les opportuni­tés et l’effet levier apportés par cette technologie dans la transformation numérique ». Mais l’agence rappelle également que le recours au Cloud représente « un enjeu de sécurité pour nos données, pour les systèmes d’information en général et en particulier pour les plus sensibles. L’état de la menace démontre en effet que les attaquants ont, depuis plusieurs années, identifié les offreurs de solutions cloud et leurs infrastructures comme des cibles d’intérêt pour la conduite d’attaques informatiques. »

Le guide commence d’ailleurs par des « précautions d’emploi » qui ressemblent en réalité à un véritable « prérequis » à toute adoption du Cloud public ou managé. Selon l’ANSSI, une telle adoption ne peut se faire sans réaliser en premier une étude d’impact et une analyse de risques. Et ceci en prenant en compte le niveau de menace maximal auquel sont exposés les différents systèmes d’information, les risques spécifiques de l’hébergement cloud, la sensibilité des traitements et des données concernés, et les risques juridiques liés à la portée extraterritoriale des lois.

Des éclaircissements et des préconisations

Le document, qui fait une quinzaine de pages, s’articule autour de trois axes clés : la typologie des offres cloud, l’état de la menace, et la nature des systèmes d’information.

Concernant les offres cloud, l’ANSSI distingue deux grandes catégories : les offres commerciales (publiques, privées, communautaires) et les offres non commerciales (internes, communautaires).

L’état de la menace dessine une typologie en trois grands types de cybermenaces avec la « menace stratégique » (attaques persistantes et ciblées, souvent menées par des États), la « menace systémique » (attaques cybercriminelles opportunistes et lucratives, utilisant des outils offensifs disponibles sur le marché pour des gains financiers ou d’espionnage industriel),  la « menace hacktiviste ou isolée » (attaques menées par des individus ou des groupes à des fins de déstabilisation). Bien évidemment, chaque type de menaces nécessite une approche adaptée.

Quant à la nature des systèmes d’information, le guide distingue quatre catégories et, pour chacune, l’ANSSI formule des recommandations spécifiques:

>> SI sensible de niveau “diffusion restreinte” (DR) : préconisation des offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées.

>> SI sensible relevant de la doctrine cloud au centre de l’État : hébergement uniquement dans les offres cloud qualifiées SecNumCloud.

>> SI sensible des opérateurs d’importance vitale et de services essentiels : tout type d’offres qualifiées SecNumCloud.

>> SI d’importance vitale : préconisation des offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, avec une analyse de risques argumentée pour tout autre type d’offres.

Le guide met bien évidemment l’accent sur l’importance de la qualification SecNumCloud, un “Visa de sécurité” attribué par l’ANSSI qui garantit un haut niveau d’exigence en matière de sécurité pour les offres cloud. Mais, parallèlement, l’agence n’ignore pas que son SecNumCloud pourrait être amandé voir mis à mal après l’adoption de la qualification EUCS européenne et assure qu’elle mettra à jour le guide en fonction des règles qui y seront finalement édictées.

L’agence rappelle aussi l’importance de la formation des équipes techniques et de la direction de projet aux technologies cloud. Elle recommande d’ailleurs aux organisations « de sélectionner des services et licences pertinents afin de disposer des options et mécanismes de sécurité adaptés à leur besoin ». Elle souligne également qu’il est « important de prévoir une clause de réversibilité permettant de faciliter la migration d’une technologie cloud vers une autre afin de limiter la dépendance à une seule offre cloud, et à ses évolutions fonctionnelles et de sécurité ». 

Outil précieux pour naviguer dans la complexité des offres cloud tout en assurant la sécurité des systèmes d’information, ce guide est forcément bienvenu. On pourra cependant lui reprocher de rester un peu trop théorique et généraliste en veillant à ne jamais pointer du doigt une offre particulière ou un fournisseur Cloud particulier. Ce sera donc aux DSI de rapprocher les recommandations de l’ANSSI avec les différentes offres des opérateurs Cloud.

Les recommandations de l’ANSSI visant essentiellement les OIV, OSE et administrations, les DSI d’autres structures pourront bien évidemment s’en inspirer mais aussi les rapprocher de deux autres guides récemment publiés : celui du Cigref avec ses 250 critères de mesure d’un “cloud de confiance” et celui du Clusif et ses “15 critères pour évaluer le niveau de Confiance d’un Cloud“.

Sans jamais oublier que toutes ces recommandations ne dispensent pas les organisations d’une réflexion approfondie et d’une analyse de risques adaptée à leur contexte spécifique.

Le guide est accessible ici:
Recommandations pour l’hébergement des SI sensibles dans le cloud | ANSSI

À LIRE AUSSI :

Cloud

Le Cigref publie un référentiel pour l’achat de services cloud de confiance

La rédaction

1 Juil

À LIRE AUSSI :

Cloud

15 critères pour évaluer le niveau de confiance d’un cloud selon le Clusif

Laurent Delattre

11 Juin

À LIRE AUSSI :

Cloud

EUCS : “la France cherche une victoire à la Pyrrhus”

Thierry Derouet

22 Avr

À LIRE AUSSI :

Cloud

Quelle confiance placer dans les clouds de confiance ?

François Jeanne

29 Fév