L’un des avantages mis en avant pour la promotion des services en Cloud computing (ou informatique en nuage) est le fait que la mutualisation des ressources (au moins pour les clouds publics et hybrides) permet de réduire les coûts d’infrastructure. Cependant, le revers de la mutualisation est l’absence de flexibilité contractuelle, les contrats Cloud étant le plus souvent des contrats d’adhésion, non négociables par les clients.
Par ailleurs, la plupart des clients-utilisateurs ne procéderont jamais à un audit technique des services, ce qui peut aboutir à des situations très difficiles à surmonter en cas de défaillance technique (et/ou financière) d’un prestataire qui n’aurait pas sauvegardé les données clients par exemple.
Partant de ces constats, et du besoin d’assurer une plus grande confiance dans ces services, deux initiatives ont récemment été lancées autour de la sécurité du Cloud.
Ainsi, en juin 2014, dans le cadre du vaste projet « La Nouvelle France Industrielle », le gouvernement a validé le plan consacré au cloud computing. Parmi les 10 mesures proposées par Messieurs Klaba (OVH) et Breton (Atos), on retiendra ici la proposition de créer un label « Secure Cloud » pour les acteurs hébergeant leurs données sur le territoire européen. (1)
Dans la continuité de ce plan, l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), vient de publier un projet de référentiel général de sécurité auquel les prestataires Cloud devront se conformer s’ils souhaitent obtenir une « qualification ». (2) Ce futur référentiel, ayant vocation à converger avec le label « Secure Cloud » mentionné ci-dessus, servira en premier lieu pour les besoins de l’Etat. Il pourra néanmoins être réexploité par les entreprises utilisatrices.
1. La qualification des prestataires Cloud
Le document de l’Anssi, intitulé « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage », concerne les prestataires fournisseurs de services Cloud - en mode SaaS, PaaS ou IaaS, et ce quelque soit le profil de leurs clients (administrations, collectivités territoriales, OIV, entreprises, etc.).
Ce projet de référentiel général de sécurité (RGS) définit les exigences de sécurité ainsi que les recommandations (ou bonnes pratiques) que les prestataires Cloud devront respecter pour obtenir la qualification. Ces exigences seront vérifiées dans le cadre d’un audit des lieux liés à la prestation visée par la qualification.
Ce document vise à donner aux clients, utilisateurs de services Cloud, des garanties quant à la compétence du prestataire, à la qualité de ses services et à la sécurité du traitement des données qui lui sont confiées. Le référentiel a ainsi pour objectif de favoriser l’émergence et la promotion d’offres de services sécurisées qualifiées et ainsi, garantir un niveau de confiance envers les prestataires qualifiés - même si le RGS est avant tout destiné aux administrations.
2. Le contenu du projet de référentiel
Les exigences et recommandations contenues dans le référentiel de l’Anssi portent notamment sur l’organisation interne du prestataire Cloud et ses relations avec ses clients et les tiers. On retiendra notamment :
- Le périmètre de qualification : le prestataire doit établir le périmètre qu’il souhaite qualifier, la liste des exigences y afférentes, le niveau de sécurité visé pour la qualification (élémentaire ou standard) et une analyse de risques couvrant le périmètre de la qualification ;
- Une politique générale de sécurité : le prestataire doit définir une politique de sécurité détaillant les différentes mesures mises en oeuvre, a minima, dans les domaines suivants : organisation de la sécurité ; sécurité des ressources humaines ; gestion des biens ; sécurité physique et environnementale ; contrôle d’accès et gestion des identités ; cryptologie ; sécurité des opérations ; acquisition, développement et maintenance ; relation avec les sous-traitants ; gestion des incidents et de la continuité des activités et enfin la conformité ;
- Les relations contractuelles avec les clients et les tiers : un contrat doit détailler les tâches et les responsabilités incombant tant au prestataire qu’au client.
Par ailleurs, le prestataire doit identifier l’ensemble des tiers (sous-traitants hébergeurs, éditeurs des logiciels, etc.) et des prestations externalisées participant à la fourniture du service Cloud. Ces tiers doivent fournir des garanties en matière de sécurité, au moins équivalentes à celles mises en oeuvre dans sa propre politique de sécurité. Ces exigences de sécurité doivent impérativement être contractualisées avec le prestataire (par exemple, dans un cahier des charges ou à travers des clauses de sécurité dans contrats conclus avec ces tiers). En outre, le prestataire doit pouvoir régulièrement auditer et contrôler les mesures de sécurité mises en place par les tiers.
- La gestion interne : le prestataire Cloud doit mettre en place une procédure de vérification des candidats à l’embauche, faire signer à tout nouveau salarié un engagement de confidentialité et les sensibiliser notamment à la sécurité informatique.
En outre, le prestataire doit réaliser un inventaire des équipements informatiques ainsi que des licences utilisées dans le cadre de la prestation Cloud.
Enfin, il doit notamment établir une politique de contrôle d’accès et de gestion des identités, généraliser le chiffrement des données stockées et de flux, mettre en oeuvre des mesures de détection, de prévention et de restauration pour se protéger des codes malveillants et ainsi élaborer des politiques et procédures de gestion des incidents de sécurité.
- Les exigences contractuelles et législatives : le contrat de service entre le prestataire Cloud et le client doit être soumis au droit français et la juridiction compétente doit être localisée en France. Le prestataire doit par ailleurs, non seulement s’engager à respecter les exigences légales, règlementaires et contractuelles en vigueur, mais également et effectuer une veille active de l’évolution de ces exigences.
- Une fourniture de services localisée en France : on retiendra enfin que le projet de référentiel exige que la fourniture des services soit localisée sur le territoire français. Il est précisé, en effet, que le stockage et le traitement des données doivent être opérés en France, et que les produits participant à la prestation (logiciels) et visibles par le client soient accessibles en français. Enfin, le support de premier niveau doit être fourni en français et localisé en France.
3. L’appel public à contributions et candidatures lancé par l’Anssi
L’Anssi a lancé un appel public à participation sur ce projet début août et invite les prestataires Cloud à lui adresser des commentaires et remarques sur ce projet de référentiel avant le 3 novembre 2014.
Après l’analyse des contributions reçues, l’Anssi lancera une phase dite « expérimentale », visant à tester la mise en oeuvre pratique du référentiel. A ce titre, l’Agence invite les sociétés prestataires de services Cloud souhaitant participer à cette phase expérimentale à la contacter.
Enfin, l’Anssi propose aux entreprises du Cloud souhaitant obtenir la qualification, de déposer leur candidature.
Pour en savoir plus : http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html
* * * * * * * * * * *
(1) Article « Redressement productif : le gouvernement valide les plans cybersécurité, cloud et souveraineté télécom », publié par zdnet.fr, le 5 juin 2014 (http://www.zdnet.fr/actualites/redressement-productif-le-gouvernement-valide-les-plans-cybersecurite-cloud-et-souverainete-telecom-39802045.htm)
(2) « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d’exigences », Anssi, version du 30.07.2014.
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2014
Aucun commentaire:
Enregistrer un commentaire