L’ANSSI anticipe le futur schéma de certification européen pour les services cloud (EUCS) et propose des recommandations intégrant plusieurs mesures réglementaires. Ces recommandations seront mises à jour lors de l’entrée en vigueur du schéma EUCS.
“Les recommandations de l’ANSSI constituent un outil d’aide à la décision pour les entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que les systèmes d’information d’importance vitale (SIIV)” précise l’Agence. Elles sont en cohérence avec la doctrine “cloud au centre” de l’État, qui impose un hébergement uniquement dans les offres qualifiées SecNumCloud (internes, privées, communautaires ou publiques).
Pour les autres entités, ces recommandations ne sont pas contraignantes et ne s’appliquent pas aux SI classifiés, car ils n’ont pas vocation à recourir aux solutions cloud. Elles répondent aux attentes des acteurs publics et privés.
Les entités doivent être vigilantes sur le cloud
“Le recours au cloud est un enjeu de sécurité pour nos données et les systèmes d’information, en particulier les plus sensibles. Les attaquants ont identifié les fournisseurs de solutions cloud et leurs infrastructures comme des cibles d’intérêt pour les attaques informatiques. De plus, l’application de lois extraterritoriales impose aux hébergeurs de transmettre les données de leurs clients à leurs autorités” précise l’ANSSI.
Ces recommandations visent à structurer le processus de décision à travers différentes étapes clés avant une migration, en évaluant les aspects techniques et organisationnels. Le guide de l’ANSSI propose les types de solutions cloud en fonction de la nature du SI, de la sensibilité des données et du niveau de menaces. Par exemple, pour un SI sensible de niveau DR (diffusion restreinte), il est recommandé de recourir aux offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, permettant de disposer d’une infrastructure dédiée pour éviter le risque de latéralisation d’un attaquant.
L’ANSSI rappelle l’importance de conduire une étude d’impact et une analyse de risques avant toute migration vers le cloud. “La décision de migrer des systèmes d’information vers des solutions cloud relève de la plus haute autorité de l’entité”. L’Agence propose quatre critères minimum à prendre en compte :
- le niveau de menace maximal auquel sont exposés les différents systèmes
d’information ; - les risques spécifiques de l’hébergement cloud (exposition des services à internet et mutualisation des infrastructures avec d’autres clients) ;
- la sensibilité des traitements et des données concernés, en considérant les aspects de confidentialité, d’intégrité et de disponibilité ;
- les risques juridiques liés à la portée extraterritoriale des lois.
Les structures doivent veiller à la bonne configuration et sécurité des solutions. Il est également recommandé d’inclure une clause de réversibilité pour éviter toute dépendance au fournisseur. Des pratiques additionnelles, telles que des audits réguliers, le suivi des accès et la gestion des vulnérabilités des fournisseurs cloud, sont également conseillées.
L’ANSSI recommande aussi la formation des équipes techniques et la chefferie de projet à l’usage des technologies cloud. “Cette précaution contribuera à assurer la qualité de l’étude de la migration du système d’information vers un hébergement cloud, ainsi que la maîtrise des coûts et les délais. Elle permettra également d’étudier, de manière exhaustive, l’ensemble des aspects techniques et organisationnels de la migration“.
Les recommandations de l’ANSSI seront alignées avec le futur schéma de certification européen pour les services cloud (EUCS) en cours d’élaboration et mises à jour en conséquence lors de l’entrée en vigueur du schéma EUCS.
Patrice Remeur