AVIS D’EXPERT – Pour répondre à la demande accrue, les éditeurs de solutions de cybersécurité ont élargi leur offre vers un modèle de consommation SaaS. Plusieurs familles d’outils, jusqu’alors distribués essentiellement en mode « on premise », ont franchi le pas : antimalware, WAF, proxy, SIEM, etc.
Cette tendance à déporter les services de sécurité vers le Cloud, décrite dès 2019 dans le modèle SASE par Gartner, comporte de nombreux avantages, mais aussi des inconvénients à prendre au sérieux, explique Giuliano Ippoliti, directeur Cybersécurité de Cloud Temple.
Le camouflage du Cloud
Les atouts du recours au Cloud pour l’adoption de solutions de sécurité en mode SaaS sont connus : une plus grande vitesse de déploiement, une charge d’exploitation allégée, des montées de version et des mises à jour de sécurité optimales, assurées en flux continu par l’éditeur. À quoi s’ajoute la dimension Opex vs. Capex, qui simplifie la gestion financière.
Cependant, déplacer vers le Cloud des fonctions clés de sécurité et les données sensibles associées reste un saut dans l’inconnu. C’est l’effet « boite noire ». En effet, entreprises et organisations sont confrontées à une forme d’opacité, qui concerne aussi bien les aspects techniques que les aspects organisationnels de la gestion IT par l’éditeur. Cette opacité est associée à un phénomène que les analystes ont baptisé « camouflage du Cloud » : la tendance des éditeurs de solutions SaaS à cacher de façon délibérée les détails de leur sécurité et de leurs opérations.
Que faut-il penser de cette pratique ? Serait-ce une astuce pour préserver sa réputation, en évitant d’exposer un niveau de sécurité sous-optimal ? Une mesure saine de protection vis-à-vis des acteurs malveillants, qui vise à compliquer la reconnaissance avant une éventuelle attaque ? Une caractéristique inhérente au modèle SaaS, qui par sa nature même rend invisibles aux utilisateurs les détails des « couches basses » d’infrastructure ?
Il y a sûrement un peu de tout cela. Pour autant, sans remettre en question la bonne foi des éditeurs, nous sommes convaincus que la sécurité par l’obscurité ne va pas dans le bon sens, et cache des risques non négligeables pour les consommateurs.
De quels leviers concrets disposent les acheteurs ?
Pour inverser la tendance, il est crucial d’aider les décisionnaires à faire valoir leurs exigences de transparence sur le niveau de sécurité de l’éditeur et d’éclairer les entreprises et organisations sur les produits cloud qu’ils consomment. Nous militons pour que le marché converge vers l’adoption d’un indice de fiabilité largement accepté, dans le même esprit que le nutri-score appliqué aux aliments. C’est déjà dans cette direction que s’oriente la puissance publique, avec l’instauration d’une certification de cybersécurité obligatoire des plateformes numériques destinées au grand public, votée en 2021. Ce cyberscore, qui doit entrer en application à l’automne, fixe un cadre protecteur des données personnelles des citoyens. Ce même dispositif, appliqué à toutes les solutions cloud mises sur le marché, permettrait aux décideurs d’évaluer facilement la maturité des produits SaaS, et de formuler des exigences claires dans la rédaction des cahiers des charges.
Cela étant dit, sans attendre le législateur, voici les questions clés que tout acheteur potentiel devrait se poser lors de la sélection d’une solution SaaS, ainsi que des pistes pour s’assurer d’obtenir les informations indispensables :
La localisation – Où est localisée l’infrastructure d’hébergement qui porte le service SaaS ? En France, dans l’Union européenne, ou en dehors de l’Union ? Ces éléments sont parfois communiqués publiquement dans les CGU de l’éditeur, mais mieux vaut poser la question de façon explicite.
La réputation – Quelle est la réputation de l’éditeur ? A-t-il été l’objet de fuites de données ou d’attaques informatiques médiatisées ? Ses produits sont-ils souvent touchés par des vulnérabilités (CVE) ? Les réponses sont sur le web ; il faut simplement prendre le temps d’effectuer ces recherches.
Les certifications – Quel est le niveau de l’éditeur en termes de conformités ? Est-ce que ses certifications sont compatibles avec les contraintes légales et règlementaires qui s’appliquent à l’acheteur ? L’éditeur a tout intérêt à faire la publicité de ses certifications ou qualifications, telles que ISO 27001, HDS ou, le Graal : SecNumCloud. Toutefois, nous recommandons de creuser un peu plus :
- Demander les certifications pour vérifier le périmètre couvert, un abus fréquent consistant à occulter le fait que la certification couvre un périmètre restreint
- Si l’éditeur est certifié ISO 27001, demander sa Déclaration d’Applicabilité
- Consulter les rapports d’audit, par exemple ISAE 3402 ou SOC 2, idéalement de type 2
- Obtenir la politique de protection des données, ainsi que les mesures prises pour assurer le respect du RGPD
- Vérifier si l’éditeur apparaît bien dans les registres publics maintenus par les autorités de qualification comme l’ANSSI (en France) ou l’ENISA (en Europe)
- Soumettre à l’éditeur des questionnaires de sécurité, par exemple basés sur le CAIQ (Consensus Assessments Initiative Questionnaire) librement mis à disposition par la CSA (Cloud Security Alliance)
- Négocier la possibilité de réaliser des audits de conformité
La maturité – Quelle est la maturité de l’éditeur dans le développement logiciel de sa solution ? Une partie de la réponse est fournie par les éléments de conformité cités plus haut, mais nous recommandons d’obtenir des informations complémentaires :
- Les développeurs bénéficient-ils de formations ou au moins de sensibilisations à la sécurité du code informatique ?
- L’éditeur a-t-il adopté les pratiques DevSecOps ?
- L’éditeur réalise-t-il régulièrement des tests d’intrusion sur sa solution ? Si oui, est-ce qu’il accepte de partager au moins des résumés exécutifs des derniers tests ?
- Enfin, accepte-t-il que les clients réalisent des tests d’intrusion par leurs propres moyens ?
En conclusion, il nous apparaît essentiel que les fournisseurs de services de sécurité SaaS s’interdisent de céder à la tentation du camouflage et s’efforcent de faire preuve de plus de transparence. Il s’agit d’une attente légitime des utilisateurs, qui va devenir plus criante à mesure que s’opère la migration vers le Cloud des solutions de sécurité. Mieux informés, plus rassurés, ils seront plus susceptibles de s’équiper de services fiables qui permettront de faire globalement monter le niveau de protection des systèmes d’information en France. Et nous pourrons ainsi, collectivement, accélérer la lutte contre la cybermalveillance.
Giuliano Ippoliti, directeur Cybersécurité de Cloud Temple
