SecNumCloud ! SecNumCloud !
L’ANSSI a publié hier ses recommandations visant le stockage des données sensibles dans le cloud. Non contraignantes, elles se veulent un outil d’aide à la décision, pour couvrir autant d’angles que possible dans les projets. Ces recommandations sont cependant temporaires. Elles seront mises à jour quand le schéma de certification européen services cloud (EUCS) sera prêt.
Drôle de timing pour la publication des recommandations de l’ANSSI. De nombreuses données sont hébergées dans le cloud depuis un moment maintenant. Néanmoins, EUCS est toujours en cours d’élaboration et dictera sa propre logique. Cette future directive est actuellement contestée, car la dernière version aurait supprimé l’obligation de souveraineté européenne. Autrement dit, les entreprises étrangères pourraient être certifiées, même dans les niveaux les plus élevés.
En attendant d’y voir plus clair, les recommandations de l’ANSSI sont présentées comme un outil d’aide à la décision. Elles ne s’adressent pas, a priori, aux structures ayant déjà des données dans le cloud. Elles sont spécifiquement écrites pour les « entités qui envisagent un hébergement cloud pour leurs systèmes d’information (SI) de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que les systèmes d’information d’importance vitale (SIIV) ».
Des précautions avant même de commencer
Le document de l’ANSSI ne représente pas une solution clé en main pour toute structure qui envisagerait le cloud pour stocker des données sensibles. L’agence part du principe qu’une étude d’impact doit avoir été réalisée, ainsi qu’une analyse de risques.
L’entité devrait au moins avoir défini le niveau de menace maximal auquel pourraient être exposés ses systèmes d’information. Il est également nécessaire d’évaluer les risques inhérents à l’hébergement cloud. L’ANSSI donne deux exemples : l’exposition des services à internet et la mutualisation des infrastructures avec d’autres clients. Vient ensuite la sensibilité des données et traitements concernés. Les niveaux de confidentialité, intégrité et disponibilité doivent ainsi être définis.
Autre recommandation : prévoir les mécanismes de sécurité nécessaires, afin que les options soient adaptées aux besoins. Par exemple, définir à l’avance la configuration des services de filtrage et de contrôle d’accès. Objectif évident : savoir avec précision qui aura accès à quelles ressources, tout particulièrement les interfaces d’administration et de supervision. L’agence recommande aussi de prévoir une clause de réversibilité, pour pouvoir migrer d’une offre cloud vers une autre en cas de besoin.
Les entités devraient en outre prendre en compte la formation du personnel, aussi bien les équipes que leurs responsables. « Cette précaution contribuera à assurer la qualité de l’étude de la migration du système d’information vers un hébergement cloud, ainsi que la maîtrise des coûts et les délais. Elle permettra également d’étudier, de manière exhaustive, l’ensemble des aspects techniques et organisationnels de la migration », indique l’ANSSI.