L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), se mobilise pour sécuriser le cloud. Vol de données, cyberattaque, espionnage industriel : menaces, que nous avons présentées dans un article précédent. Les acteurs du projet s'accordent sur son importance capitale. Voici ce qu'il faut savoir de ce projet, à la lumière de notre prochain webinathon dédié à la sécurité du cloud (le 11 octobre à 14h15), avec Alban Ondrejeck pour Orange Business d'une part, et Maître Olivier Iteanu, l'avocat expert en cybersécurité du cloud, bien connu de nos lecteurs.
Nombre d’entreprises françaises hébergent leurs données ou leurs services chez un fournisseur de cloud étranger, parfois sans même le savoir, car dans certains cas, le fournisseur local se trouve être un simple sous-traitant d'un confrère américain, nous a expliqué Olivier Iteanu. Cette situation n'est pas neutre en termes de possibilités de vol d’informations et d’espionnage industriel.
Label Secure Cloud et Secure Cloud Plus : deux labels pour deux niveaux d’exigence
Face à ce risque, la France et l’Union Européenne se devaient de réagir. Comment s’assurer qu’un client utilisant le service cloud d’une entreprise française ne voie pas ses données stockées à l’étranger ? Comment être certain que l’hébergeur de données mette en place les dispositifs nécessaires pour garantir un niveau de sécurité maximal ? Et comment savoir si le provider ne sous-traite pas une partie de son hébergement à l’étranger ?
L’État français a ainsi créé dans le cadre de son plan « Cloud Computing » un label nommé Secure Cloud. Il s’agit d’une certification délivrée à un hébergeur cloud respectant les recommandations émises par l’ANSSI, notamment en matière de localisation de l’hébergement.
Pour obtenir le label Secure Cloud, l’hébergeur doit, en plus des autres conditions de sécurité, stocker ses données exclusivement en Europe. Les fournisseurs de cloud souhaitant obtenir ce label pour vendre leurs services à ces OIV vont devoir remplir des conditions plus strictes, par exemple dans le niveau de chiffrement des données et leur localisation, qui n’est plus limitée à l’Europe mais à la France.
Un second label, Secure Cloud Plus, comporte des exigences de sécurité plus strictes, notamment concernant l’exploitation des données et leur stockage situé uniquement sur le territoire français. Le but de ce label est de certifier que l’hébergeur est capable de proposer un service correspondant aux exigences de certaines entreprises, dont les données exploitées sont considérées comme sensibles : il s’agira notamment des Opérateurs d’Importance Vitale (OIV, par exemple les banques, les transports, l’énergie, etc.).
Secure Cloud : un projet à visée européenne
Un premier référentiel a été publié par l’ANSSI en 2014, faisant appel aux commentaires des entreprises concernées. Ce référentiel a ensuite été retravaillé pour prendre en compte les premiers retours. Sur la base de ce document, l’ANSSI a fait appel à une sélection d’entreprises du cloud, dont Orange, qui ont participé à une phase expérimentale, avec pour objectif de tester dans des conditions réelles l’applicabilité de ce référentiel. La difficulté dans ce processus d’établissement des certifications réside dans le fait que le référentiel évolue moins vite que le cloud.
La France souhaite inspirer l’Europe, en faisant adopter son label à plus grande échelle. En effet, de nombreux pays européens créent de leur côté leur propre référentiel (voir par exemple le CESG au Royaume Uni) : ces démarches redondantes engendrent une complexification des règles du cloud en Europe. On constate pourtant des volontés de rapprochement, émises notamment depuis l’Allemagne, qui partage une vision commune avec la France au sujet de la sécurité dans le cloud. Porté par les deux pays leaders de l’Union Européenne, ce projet de référentiel européen a donc de bonnes chances de voir le jour. Le mois d'octobre 2016 est d'ailleurs placé sous le signe de la sensibilisation à la sécurité dans le cloud, sous l'impulsion de l'ENISA, l’agence européenne chargée de la sécurité des réseaux et de l’information.
Inutile toutefois de se projeter trop loin, puisque le référentiel n’en est pas encore à sa version finale publiable, qui est prévue pour la fin de l’année. Pour aller encore plus loin, un véritable label européen garantissant un hébergement sur le continent et fixant des conditions de sécurité minimum constituerait un avantage indéniable pour les fournisseurs de cloud européens et une importante garantie de sécurité pour toutes les entreprises clientes.
Pour aller plus loin
Webinaire « Secure Cloud : la réponse française au Patriot Act ? » – 11 octobre 2016 à 14h15
Webinathon spécial sécurité dans le cloud – 11 octobre 2016
Cyberattaques en entreprise : réalité de la menace et parades possibles
4 conseils pour améliorer la sécurité des données dans le cloud
Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre, je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.