La migration vers le cloud ne connait pas la crise. Non seulement son adoption concerne tous les secteurs y compris les plus sensibles, mais la part des données et des applications dans le cloud ne cesse de croitre. Mais le cloud reste néanmoins un sujet anxiogène. Le principal facteur de risques induits par son adoption concerne la non-maîtrise de la chaîne de sous-traitance de l’hébergeur pour 48 % des RSSI interrogés à l’occasion de la septième enquête du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), présentée en janvier dernier.
La confidentialité des données critiques : un enjeu de souveraineté nationale
Dans ce contexte, répertorier toutes les informations sensibles revêt une importance capitale.
Il existe 4 niveaux pour classifier ses données :
- Non Classifié : cette mention s’applique uniquement aux informations qui peuvent circuler librement à l’extérieur d’un périmètre et qui ne nécessitent pas de protection particulière.
- Usage interne : il s’agit du niveau par défaut qui regroupe les informations qui peuvent circuler librement à l’intérieur d’un périmètre donné.
- Diffusion Restreinte : ce n’est pas un niveau de classification, mais une mention de protection. Son objectif est de sensibiliser l’utilisateur à la nécessaire discrétion dont il doit faire preuve dans leur manipulation.
- Secret : ce niveau est réservé aux informations dont la divulgation à des personnes non autorisées pourrait porter atteinte aux intérêts stratégiques de l’organisation, à sa sécurité voire à l’existence même de l’organisation.
Les limites de la Diffusion Restreinte
L’instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR).
Pour pouvoir mettre en place une DR, il est nécessaire de passer par une homologation ad hoc qui implique une analyse des risques résiduels. Indiquer que l’on utilise du matériel DR ne suffit donc pas à affirmer qu’un service est « compliance DR ».
Par ailleurs, un prestataire dont l’infrastructure bénéficie d’une homologation DR ne peut en faire bénéficier ses clients. C’est à l’entreprise elle-même, en tant qu’autorité d’homologation, qui doit définir le processus d’homologation du contexte en question. La durée de cette homologation est déterminée par l’autorité d’homologation (d’un à trois ans au maximum, la valeur de confidentialité d’une information étant susceptible d’évoluer tout au long de son cycle de vie).
Pour aider les administrations et organisations concernées, l’ANSSI a publié un guide qui explique en détail comment construire des Systèmes d’Information (SI) susceptibles de traiter des informations estampillées « niveau de diffusion restreinte ».
« Dans la pratique, la mise en place est complexe – avec 21 articles et quelque 190 mesures à mettre en place », souligne Frédéric Mecheti, Information Security Officer chez Oodrive.
Mais surtout, l’II 901 n’aborde pas la problématique de la protection des données DR lorsqu’elles sont hébergées dans un cloud, car cette solution était loin d’être généralisée en 2015.
Les atouts d’une qualification SecNumCloud
Avec la multiplication des cyberattaques sophistiquées, il est devenu primordial de protéger ses contenus hébergés dans le cloud. Initié par une phase expérimentale en 2015 sous l’appellation SecureCloud, le référentiel SecNumCloud vise à favoriser l’émergence d’offres Cloud disposant d’un haut niveau de sécurité.
Le respect des exigences du référentiel SecNumCloud a pour objectif l’atteinte d’un niveau de sécurité́ permettant le stockage et le traitement de données pour lesquelles un incident de sécurité́ entraînerait une conséquence limitée pour le commanditaire.
Pour être conformes à ce Référentiel, les entreprises de cloud computing doivent mettre en place et renforcer de très nombreux éléments de sécurité, qu’il s’agisse de sécurité physique, organisationnelle ou contractuelle. En janvier 2019, Oodrive est devenu le premier acteur qualifié SecNumCloud pour l’ensemble de ses offres de cloud privé. Une reconnaissance d’une démarche de qualité et de sécurité engagée depuis de nombreuses années. Aucun service cloud de type SaaS excepté Oodrive n’est formellement homologué pour réaliser cette tâche à ce jour.
L’homologation DR et la qualification SecNumCloud sont-elles compatibles ?
Prenons le cas d’un grand groupe du secteur de l’énergie qui a besoin de protéger des données DR et de disposer d’une infrastructure cloud. Comme nous l’avons précisé plus haut, il devra gérer sa propre homologation DR qui tiendra compte du service assuré par un tiers, ce dernier devant fournir un certain nombre de garanties.
« Pour ce grand groupe, la démarche est plus simple et rapide s’il fait appel à un prestataire de service certifié SecNumCloud. Cette certification garantie en effet que non seulement le service en mode SaaS est qualifié, mais également les processus, le contexte et les contrats ainsi que ses conventions de services », précise Frédéric Mecheti.
Avec le SecNumCloud, un client bénéficie d’un service qualifié qui a été vérifié de bout en bout. Tous les aspects sont traités lors de l’audit. Cette démarche permet d’alléger l’analyse de risques de la DR.
Renforcer la sécurité de son SI
La qualification SecNumCloud permet d’assurer la sécurité du traitement des données DR dans le cloud. Mais les entreprises doivent renforcer leur politique de sécurité pour tenir compte de l’évolution des menaces numériques.
Afin de garantir une plus grande harmonisation des règles de gestion du risque
cyber en Europe, le projet de règlement européen DORA (Digital Operational Resilience Act) est en cours d’élaboration.
En matière de gestion du risque informatique, le texte imposera aux entités la formalisation de cartographies des actifs informatiques et des risques associés, ainsi qu’une gouvernance adaptée à la gestion du risque cyber.
