Cloud français : vos données méritent la meilleure protection
Selon une étude McvAfee, 97% des entreprises utilisent des services cloud, publics ou privés. Et 83% stockent dans un cloud public des données sensibles. Pourtant, malgré une adoption de plus en plus massive de cette technologie dans les entreprises, un manque persiste. Ou persistait ? Existe-t-il un cloud français sécurisé capable d’apporter les garanties nécessaires aux entreprises qui souhaitent sécuriser leurs données les plus sensibles ?
En avril 2019, Bruno Le Maire a annoncé qu’il comptait mettre en place un « cloud national stratégique » afin de sécuriser les données stratégiques des entreprises françaises. Son objectif est d’empêcher les autorités américaines d’y accéder en application du Cloud Act.
Pour le ministre des Finances français, le texte américain constitue « une rupture de souveraineté » qui n’est tout simplement pas acceptable. « Il faut que nous ayons un cloud stratégique qui permette de stocker des données stratégiques et de les protéger », a-t-il déclaré. Le ministre de l’Economie a annoncé qu’il ferait rapidement des propositions au Premier ministre et au président de la République. En attendant ce cloud stratégique national, les entreprises françaises doivent tout de même tout mettre en œuvre pour éviter de voir leurs données sensibles quitter le territoire. N’existerait-il pas déjà des solutions adaptées ?
Le cloud souverain : une utopie ?
Depuis plusieurs années, la France tente de mettre en place un véritable cloud souverain. Il s’agit d’un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.
L’avantage le plus important du cloud souverain réside dans la sécurité et la transparence des données. En effet, les documents sont stockés sur des serveurs situés en France et sont donc soumis à la législation française. Par définition, les données ne peuvent pas être consultées par le gouvernement sans autorisation préalable, contrairement aux données situées sur le sol américain ou gérées par des prestataires américains et soumis à des textes comme le Cloud Act par exemple.
Si pour l’heure, aucune proposition de cloud souverain ne semble émerger, vers quelle solution peuvent se tourner les entreprises qui souhaitent protéger leurs données sensibles ? Vers un cloud sécurisé français !
Offrez un cloud français sécurisé à vos données !
Les solutions qualifiées SecNumCloud s’adressent à toute entreprise manipulant des données sensibles et tout particulièrement les OIV et organismes d’état, ces derniers étant soumis à des obligations très strictes. Pour rappel, dans le cadre de la loi de programmation militaire, l’ANSSI impose à ces acteurs des mesures de sécurité et de contrôle de leur système d’information les plus critiques. La qualification SecNumCloud étant fortement recommandée par l’ANSSI, elle permet notamment d’être conforme à ces obligations.
Début 2019, Oodrive est devenu le premier acteur à obtenir le Visa de sécurité ANSSI via la qualification SecNumCloud pour l’ensemble de ses offres de Cloud privé. Le cloud sécurisé français, oui ça existe !
Des exigences de sécurité strictes
L’obtention de cette qualification repose sur des exigences applicables aux acteurs de services d’informatique en nuage. Elles ont été établies par l’ANSSI dans un référentiel baptisé SecNumCloud. Ce référentiel est le fruit d’une co-construction de l’ANSSI avec des acteurs du cloud, et plus précisémment la CNIL : il tient compte, dans sa dernière version, du RGPD, entré en vigueur le 25 mai 2018.
Le respect du référentiel SecNumCloud permet de garantir un niveau de sécurité optimal et assurer qu’un incident lors du stockage ou du traitement de données ait une conséquence limitée pour une entreprise. Le texte assure notamment le respect des bonnes pratiques de sécurité relevant de l’hygiène informatique, telles que décrites dans le guide de l’ANSSI.
SecNumCloud : périmètre des prestataires concernés
Les activités visées par le référentiel sont :
-
Fourniture de services SaaS (Software as a service).
Ce service concerne la mise à disposition par le prestataire d’applications hébergées sur une plateforme partagée. Le commanditaire (entité faisant appel à un prestataire de services cloud) n’a pas la maîtrise de l’infrastructure technique sous-jacente. Le prestataire gère de façon transparente pour son client l’ensemble des aspects techniques nécessitant des compétences informatiques. ce dernier garde la possibilité d’effectuer quelques paramétrages métier dans l’application.
-
Fourniture de services PaaS (Platform as a service).
Ce service concerne la mise à disposition par le prestataire de plateformes d’hébergement d’applications. Le commanditaire n’a pas la maîtrise de l’infrastructure sous-jacente, gérée et contrôlée par le prestataire (réseau, serveurs, OS, stockage, etc). Le commanditaire a cependant la maîtrise des applications déployées sur cette plateforme. Il peut aussi avoir la maîtrise de certains services composant cette plateforme ou de certains éléments de configuration suivant la répartition des rôles définie par le service.
-
Fourniture de services IaaS (Infrastructure as a service).
Ce service concerne la mise à disposition de ressources informatiques abstraites (puissance CPU, mémoire, stockage, etc). Le modèle IaaS permet au commanditaire de disposer de ressources externalisées, potentiellement virtualisées. Ce dernier garde le contrôle sur le système d’exploitation (OS), le stockage, les applications déployées ainsi que sur certains composants réseau (pare-feu par exemple).
Cloud français : quels bénéfices pour une entreprise ?
D’après les auteurs du référentiel, un prestataire de services cloud non qualifié peut potentiellement augmenter l’exposition d’une entreprise ou d’une administration à certains risques et notamment la fuite d’informations confidentielles, la compromission, la perte ou l’indisponibilité de son système d’information.
Quels sont les éléments qui permettent à un prestataire de proposer un cloud français sécurisé ? Bien que la qualification soit basée sur la norme ISO 27001, le niveau de sécurité imposé par SecNumCloud est bien supérieur en exigeant des mesures fortes et concrètes à mettre en œuvre (WAF, SIEM, HSM, OTP). La certification ISO 27001, neutre sur la technologie, permet de mettre en place l’organisation nécessaire pour apporter la sécurité.
SecNumCloud : enfin un cloud français sécurisé reconnu par un organisme d’Etat
La qualification SecNumCloud, dédiée au cloud computing, hisse la sécurité des services du périmètre au niveau le plus élevé connu dans le monde du cloud computing. Quand on vous disait qu’un cloud sécurisé français ça n’était un mythe ! Grâce aux solutions d’Oodrive, le client est assuré d’utiliser une solution dont la sécurité est garantie par un organisme d’Etat, à savoir l’ANSSI.
L’ANSSI recommande aux organismes publics comme privés de recourir à des solutions cloud disposant d’un visa de sécurité via la qualification SecNumCloud. Le référentiel est particulièrement détaillé et prévoit également un certain nombre de recommandations quant au cadre contractuel des solutions cloud.
Un niveau de sécurité optimal
Afin d’obtenir ce visa et de proposer une offre qualifiée, de nombreux éléments de sécurité physique, organisationnelle ou contractuelle sont à mettre en place :
- La conformité de la PSSI
- La cryptologie
- Le renforcement de l’organisation de la sécurité de l’information
- Etc
Libérez-vous de la contrainte sécuritaire grâce au cloud français
En choisissant une solution qualifiée SecNumCloud, vous vous libérez de la contrainte sécuritaire. Vous la confiez à un partenaire de confiance, tout en bénéficiant du plus haut niveau de sécurité reconnu en France à ce jour. Vous êtes conforme aux recommandations de l’ANSSI et utilisez une solution éprouvée et auditée par des acteurs indépendants. Vous gagnez du temps en vous libérant de la charge de vérification de conformité de la solition grâce à un label reconnu par l’Etat.
Pour connaître les exigences imposées par l’ANSSI, téléchargez notre ebook SecNumCloud