Le gouvernement entame un virage progressif vers les infrastructures Cloud pour gagner en agilité au même titre que les entreprises du secteur privé. Cependant, la nature même des données traitées (données de citoyens, données étatiques à diffusion restreinte, etc.) au sein de ces dispositifs place naturellement le sujet de la « sécurité » au cœur des débats. Laurent Maréchal, EMEA, Technology Architect chez McAfee Skyhigh, partage ses réflexions et éléments techniques sur le sujet avec les lecteurs de Solutions Numériques.
Le 3 juillet dernier, Mounir Mahjoubi, Secrétaire d’État au Numérique, participait à l’édition 2018 des Rencontres du Cloud afin de dévoiler la stratégie de l’État visant à développer l’usage de l’informatique dématérialisée par les administrations, les collectivités territoriales et les établissements publics d’ici 3 ans. Le gouvernement entame donc un virage progressif vers les infrastructures Cloud pour gagner en agilité au même titre que les entreprises du secteur privé. Cependant, la nature même des données traitées (données de citoyens, données étatiques à diffusion restreinte, etc.) au sein de ces dispositifs place naturellement le sujet de la « sécurité » au cœur des débats.
Dans ce contexte, quels sont les enjeux de sécurité liés à l’adoption du Cloud ?
La non-maîtrise des environnements informatiques est toujours très anxiogène pour les responsables de la sécurité des systèmes d’information (RSSI). Aujourd’hui, il leur faut sortir d’un modèle de type « bastion » où les infrastructures étaient bien délimitées, avec une maîtrise périmétrique des données stockées dans des baies ou sur des serveurs situés dans les locaux mêmes de l’entreprise.
Le choix de migrer tout ou partie de l’environnement informatique dans « le » Cloud d’une entreprise, la contraint également à repenser son modèle de sécurité. Dès lors les protections périmétriques permettant de créer un bunker numérique ne peuvent plus s’appliquer. Pour les pallier, il suffit simplement de se référer au modèle de responsabilité partagé qui s’applique aux environnements Cloud de type PaaS (Platform-as-a-service), IaaS (Infrastructure-as-a-service) et SaaS (Software-as-a-Service). En effet, la sécurité physique des datacenters, des infrastructures techniques liées au service Cloud en question, ou bien l’application de contrôles réseaux sera du ressort (et de la responsabilité) des fournisseurs de service Cloud. S’il gagne à favoriser une meilleure agilité et flexibilité, l’environnement Cloud diminue néanmoins les capacités de contrôle existantes sur les éléments du système d’information qui sont externalisés, ou du moins, en comparaison avec ce que les organisations avaient l’habitude de contrôler par leur modèle de bastion.
« Où sont mes données ? »
Une simple question à laquelle les entreprises et organisations étaient capables de répondre presque instantanément il y a quelques temps et qui devient beaucoup complexe à traiter dès lors qu’on l’applique aux environnements Cloud. « Dans Office 365, Google Suite, ou Amazon » est certes une réponse valable mais non suffisante quand il s’agit de garantir la sécurité du patrimoine informationnel. Dès lors qu’une donnée est transférée vers le nuage, celle-ci pourrait tout aussi bien se retrouver en un instant accessible dans un autre pays, un autre continent, ou plusieurs à la fois. Qu’en est-il de la possible présence de ces données dans un datacenter situé potentiellement dans des pays connus pour ne pas vouer un grand intérêt à la protection des informations ? Elle représente une manne potentielle d’informations, parfois sensibles ou confidentielles et une aubaine pour les experts en intelligence économique, stratégique, ou politique.
Pour aborder avec sérénité ces projets qui font frémir plus d’un RSSI, deux éléments sont donc essentiels. Premièrement, le choix d’un service Cloud doit avant tout être décidé selon les obligations de sécurité des entreprises ou des organisations. Ces nouveaux services se doivent d’être une extension de l’infrastructure existante, héritant du cadre et des politiques de sécurité conformes aux objectifs définis. La conduite du changement doit certes pouvoir s’opérer, mais pas à n’importe quel prix !
Enfin, mettre en application le concept de “security by design“. Autrement dit, chaque projet de migration Cloud doit intégrer nativement un audit de sécurité, ainsi que le budget nécessaire aux éléments qui la composent afin de garantir la maîtrise des informations stockées ou la conformité des configurations liées aux infrastructure IaaS par exemple. Désormais, cette sécurité devra être contextuelle et non plus périmétrique. Les projets Cloud sont donc avant tout de réels projets de gouvernance où sécurité et conformité doivent être les maîtres mots.
Mounir Mahjoubi a annoncé « le développement d’une offre de Cloud hybride en fonction des usages et de la sensibilité des données ». La stratégie du gouvernement porte sur 3 niveaux de Cloud, en fonction du type de données traitées. Le premier en charge du traitement des données et des applications les plus sensibles, utilisera un Cloud privé basé sur le framework Open Source : OpenStack. Même si ce type d’infrastructure, désigné comme Cloud interne par le gouvernement, offre traditionnellement une moindre capacité de montée en charge réactive (notion d’élasticité pour AWS) ainsi que des coûts d’implémentation plus onéreux, les ministères concernés pourront continuer à contrôler l’infrastructure et l’environnement depuis un portail interministériel dédié. Toutefois, cela n’est pas sans rappeler le rapport du sénateur Jean-Marie Bockel en 2012 dans lequel il s’étonnait de la présence de routeurs chinois dans les cœurs de réseaux qui, je cite, « présentent un risque pour la sécurité nationale ». Le fait est que dans une infrastructure de Cloud public, vous ne saurez pas si les routeurs sont chinois, français ou allemands. Le modèle de Cloud privé permettra quant à lui non seulement la maîtrise des données, de l’environnement… mais aussi de l’infrastructure.
Le secrétaire d’État a également parlé de l’usage du Cloud dit “hybride”, où les données sensibles seront traitées localement (dans l’infrastructure étatique), et les données d’une sensibilité moindre, mais demandant potentiellement des ressources étendues, seront, elles, traitées en environnement Cloud public. Concrètement qu’est-ce que cela signifie ? Prenons l’exemple du traitement des pertes de points sur le permis de conduire. L’application d’un retrait de point, prenant en compte tous les éléments personnels du conducteur (nom, adresse, numéro de permis, etc.), pourrait être traitée par et dans l’infrastructure étatique, là où la capacité de lecture des numéros de plaques d’immatriculation, potentiellement consommatrice de ressources via des algorithmes complexes, pourrait être externalisée. En parallèle, l’usage de Clouds externes donnera accès aux administrations à des solutions de prestataires extérieurs. Si ce dernier permet une grande flexibilité afin de traiter les données non sensibles de l’Etat, la maîtrise de l’infrastructure est, quant à elle, réduite à néant.
Dans le cadre de son intervention, Mounir Mahjoubi annonçait que « la sécurité est un élément de confiance nécessaire pour le développement des entreprises dans le Cloud, non seulement pour la protection des citoyens mais aussi pour l’économie ». Effectivement, le Cloud permet, lorsque ses usages sont maitrisés, une meilleure compétitivité, agilité, et flexibilité. Le monde numérique se transforme (big data, intelligence artificielle, IoT, etc.), de nouveaux usages se créent, et le Cloud en est une pièce angulaire, au cœur de toutes les attentions… Pour preuve, le gouvernement français s’est engagé afin de faciliter le développement de nouveaux usages administratifs en ligne avec les ambitions affichées par Emmanuel Macron lors de sa prise de fonction.