La croissance exponentielle du stockage de données dans le cloud multiplie les inquiétudes en matière de sécurité au point que l’agence nationale de la sécurité des systèmes d’information estime nécessaire de proposer une certification des hébergeurs.

L’agence nationale de la sécurité des systèmes d’information (Anssi) est l’organisme public qui assiste les autorités de l’Etat dans l’élaboration de ses stratégies de cyber défense. Rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), elle coordonne les capacités de prévention et de réaction aux attaques informatiques en mettant en œuvre des moyens de détection précoce et de riposte pour contrer les agressions les plus subtiles comme les plus massives. L’Anssi a également un rôle de prévention qui consiste à préconiser des produits et des réseaux à haut niveau de sécurité. C’est également un réservoir de compétences au service des administrations et des opérateurs d’infrastructures vitales. C’est donc un organisme tout ce qu’il y a de plus sérieux qui n’hésite pas à intervenir dans les entreprises en cas de problème et qui publie régulièrement des documents de référence pour aider les responsables informatiques à établir de bonnes pratiques pour renforcer la sécurité de leurs systèmes. L’Anssi a évidemment constaté comme tout le monde l’importance que prend le cloud dans le cyber espace mondial et les problèmes que cela pose en terme de localisation et de sécurisation des données stockées. L’Agence a donc décidé de mettre en ligne un projet de référentiel qui doit permettre de qualifier le niveau de sécurité des prestataires de Cloud dans les appels d’offres des services de l’Etat mais pourra aussi servir de guide pour les entreprises. Le document est en ligne et soumis à commentaires de la part du public jusqu’au 3 novembre 2014.

 Préconiser des audits préalables

« L’approche consistant à contractualiser au cas par cas la sécurité dans chaque projet de mise en nuage montre ses limites », met en garde l’Anssi qui estime également illusoire « d’inciter chaque client à procéder à des audits réguliers des services offerts (puisque) les offres (sont) le plus souvent packagées » donc faisant partie d’un ensemble souvent indissociable. L’Agence pense donc nécessaire de mettre au point un référentiel permettant d’auditer et de certifier la sécurité des prestataires de Cloud dans « une approche unifiée (…), favorisant ainsi l’émergence et la promotion d’offres qualifiées » permettant aux hébergeurs de disposer « d’un cadre stable (…) pour aller vers la qualification » et aux clients-usagers de « baser leur confiance sur cette qualification ». Le document d’une quarantaine de pages, téléchargeables sur le site de l’Agence, couvre les trois types d’activités généralement proposées et connues sous les acronyme SaaS, PaaS et IaaS (soit logiciels, plates-formes et infrastructures « consommables » en tant que services), et se décline selon deux niveaux de sécurité : le niveau élémentaire correspondant aux exigences portées par la Politique de sécurité des systèmes d’information de l’Etat (PSSIE*) telle qu’elle est définie dans la circulaire du Premier ministre du 17 juillet 2013 et le niveau standard correspondant à une protection accrue, visant le traitement de données de niveau Diffusion Restreinte (**). Les exigences fixées par l’Agence, déclinées en 14 chapitres, sont relatives au prestataire et portent notamment sur le contrôle d’accès et la gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information. Pour répondre aux critères de sécurité, ces exigences devront être vérifiées au travers d’un audit des lieux liés à la prestation visée par la qualification.

 Stockage et traitement en France

Parmi les points marquants du référentiel, il faut noter que le texte prévoit un stockage et un traitement des données exclusivement effectués sur le territoire français. Il indique également que le prestataire doit proposer un support de premier niveau en langue française et localisé dans l’Hexagone. Il est aussi demandé de revoir au moins une fois par an la politique de gestion des identités et de contrôle des accès, de même que les droits d’accès des utilisateurs. Cette revalidation deviendrait même trimestrielle pour les comptes à privilèges élevés. Le chiffrement serait généralisé pour les flux comme pour le stockage des données même pour répondre au niveau élémentaire de sécurité.

Selon certains commentateurs, la publication définitive de ce référentiel – une fois prises en compte les remarques des internautes – pourrait déverrouiller certains marchés publics aujourd’hui contraints à des solutions d’hébergement jugées trop onéreuses. Cela pourrait avoir une incidence certaine sur le programme d’économies dont Jacques Marzin, le patron de la Direction interministérielle des systèmes d’information et de communication (DISIC) a la charge. Dans une récente interview, ce haut responsable évoquait ainsi l’intérêt de contracter avec des hébergeurs certifiés selon le référentiel de l’Anssi pour gérer des débordements de capacité de stockage, assurer la montée en charge de projets ou libérer de l’espace dans les datacenters de l’Etat en déplaçant des applications peu critiques dans le Cloud public d’hébergeurs agréés.

 Expérimentation avant action

Une fois les commentaires recueillis, l’Anssi élaborera la version définitive du référentiel qui sera validé après une phase expérimentale permettant de tester son application en conditions réelles. L’agence a invité les prestataires candidats à cette expérimentation ainsi que les organismes souhaitant être accrédités pour procéder aux audits des hébergeurs à la contacter. Il est prévu que le référentiel de l’Anssi convergera avec le label « Secure Cloud », créé dans le cadre du volet Cloud du plan de la Nouvelle France Industrielle, du Ministère de l’Industrie.

 

* Le PSSIE décline dix principes fondamentaux portant sur le choix d’éléments de confiance pour construire les systèmes d’information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs.

** La mention Diffusion Restreinte (DR) n’est pas un niveau de classification mais une mention de protection dont l’objectif principal est de sensibiliser l’utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention (legifrance.gouv.fr).