L’offre cloud est pléthorique. Entre les cloud souverains ou dits de confiance, les clouds publics, privés et hybrides, la confusion est savamment entretenue par les acteurs de ce marché particulièrement concurrentiel. Pour apporter un peu de visibilité, l’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de publier ses recommandations relatives à l’hébergement dans le cloud de systèmes d’information dits sensibles.
Ces préconisations ne s’appliquent pas à toutes les organisations. Elles concernent :
- Celles relevant de la doctrine « cloud au centre » de l’État français
- Les opérateurs d’importance vitale (OIV)
- Les opérateurs de services essentiels entités (OSE)
- Les entités opérant des systèmes d’information de niveau diffusion restreinte (DR) ou d’importance vitale (SIIV)
Se voulant un outil d’aide à la décision, ce document synthétique propose de guider ces acteurs dans le choix d’un hébergement cloud. Il se présente sous la forme d’une matrice qui comprend trois portes d’entrée.
La première, c’est la typologie des offres cloud. En fonction des spécificités de son système d’information, une organisation s’orientera vers une offre de cloud commerciale (public, privé, communautaire) ou non commerciale (interne, communautaire).
De la menace systémique à la menace stratégique
Deuxième critère discriminant : l’état de la menace. L’Anssi évoque trois typologies de menace.
- La menace stratégique « s’illustre par la conduite d’attaques informatiques persistantes et ciblées, menées ou financées par un État. Elle est caractérisée par des moyens techniques et organisationnels importants, ainsi qu’un effort de discrétion. »
- Susceptible d’affecter une large proportion d’organisations, la menace systémique se caractérise par la conduite d’attaques informatiques majoritairement opportunistes. Ces dernières sont menés par des cybercriminels à des fins lucratives via des rançongiciels ou des scenarios de fraude.
- Enfin, la menace hacktiviste ou isolée vise à déstabiliser une organisation par vengeance ou motif idéologique.
Troisième point d’entrée : la nature des systèmes d’information concernés. On retrouve les catégories précédemment évoquées entre le SI des OIV et OSE, les SI traitant des données de niveau diffusion restreinte au sens de l’instruction générale interministérielle numéro 1 300, les SI relevant de la doctrine cloud au centre.
Le document évoque, en dernière catégorie, les systèmes d’information d’importance vitale (SIIV) « pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. »
SecNumCloud, le visa de sécurité
A partir de cette grille de lecture, le guide préconise aux SI des OIV et OSE tout type d’offres qualifiées SecNumCloud. Pour rappel, le référentiel SecNumCloud, élaboré par l’Anssi, propose « un ensemble de règles de sécurité et de bonnes pratiques d’hygiène informatique, garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. »
De même, les SI sensibles relevant de la doctrine « cloud au centre » de l’État, ne peuvent être hébergés que dans les offres cloud qualifiées SecNumCloud que celles-ci soient internes, privées, communautaires ou publiques.
En ce qui concerne les SI de niveau DR, l’Anssi recommande les offres cloud certifiées SecNumCloud non commerciales (internes et communautaires) et, commerciales privées « permettant de disposer d’une infrastructure dédiée évitant le risque de latéralisation d’un attaquant depuis l’environnement d’un client vers un autre ».
La préconisation est sensiblement identique pour les SI d’importance vitale. L’Anssi indique toute qu’« en raison de la sensibilité des traitements et des données qu’il traite, le SIIV est un cas particulier qui doit faire l’objet d’une décision motivée relevant du responsable de l’entité concernée. »
Partage des responsabilités
L’Anssi rappelle, enfin, que si la qualification SecNumCloud apporte une confiance sur l’offre cloud, elle ne décharge pas le détenteur du SI de tout devoir de protection.
Un certain nombre d’actions de sécurisation restent de sa responsabilité.
« A titre d’exemple, indique l’agence, le déploiement ou la migration d’un système d’information sur une infrastructure cloud nécessitera la configuration les services de filtrage et de contrôle d’accès, pour s’assurer que seule les personnes légitimes accèdent aux interfaces d’administration et de supervision de sa solution. »