vendredi 13 décembre 2019    || Inscription
BanniereNews
 
 

Les Assises de la sécurité ont été l’occasion pour le cloud service provider (CSP) Oodrive de faire un point sur son offre et de présenter avec l’ANSSI les avancées sur les référentiels de sécurité pour le cloud computing, les certifications des CSP et les possibles obligations réglementaires à venir.

 

Oodrive se présente comme étant le 39° éditeur de logiciels français, comptant 300 salariés et 15.000 clients. Il est utilisé par 80% des entreprises du CAC 40. Il propose des solutions SaaS ou « on premise », dans les locaux des entreprises. Il a racheté les activités de CERT Europe et participe activement à la dématérialisation de nombreux documents, dont ceux des conseils d’administration des entreprises. 

Oodrive met en avant l’importance  qu’il accorde aux diverses certifications. Il cite rapidement la certification cloud confidence, présente l’intérêt des certifications ISO 27001 et RGS, puis développe le projet de certification « secure cloud plus » pour lequel il est acteur pilote avec l’ANSSI. La parole est alors laissée à Charles Schulz de l’ANSSI qui présente les travaux sur le référentiel « secure cloud » et le référentiel « secure cloud plus » appelés à devenir des référentiels de certification.

 

Quelles exigences imposer aux opérateurs de cloud computing ?

« Le cloud computing »  déclare Charles Schulz en introduction « tout le monde y va ; parfois n’importe comment ». « Il faut travailler avec les éditeurs et les prestataires qui apportent de la sécurité et de la confiance : cela constitue une groupe plus limité d’acteurs ». Une approche structurelle a été constituée sur une base structurelle proche de l’ISO 27001 à laquelle a été ajouté, ou greffé, d’autres éléments d’autres éléments pour prendre en compte la réalité d’un écosystème. « Il faut faire œuvre de pédagogie pour parvenir à une prise de conscience » explique Charles Schulz. Les référentiels, explique-t-il, prennent en compte la sécurité physique, les besoins de séparation des environnements divers par des choix d’architecture, les besoins de chiffrement ou encore de localisation des données. 

Les référentiels « secure cloud » (niveau 1) et « secure cloud plus » (niveau 2) doivent répondre à la question des exigences de sécurité que doivent poser les entreprises, et les instances gouvernementales, à leurs fournisseurs CSP.

Un projet de référentiel a été publié pour appel à commentaires en juillet 2014, qui s’inspire fortement de l’ISO 27001 et du RGS. Un grand nombre de commentaires a été formulé, dont certains parfois critiques. Le tout a fait l’objet d’analyses approfondies de la part de l’ANSSI. 

De manière concomitante et indépendante, une association a  cherché à promouvoir un autre référentiel certifiant « cloud confidence » dont les exigences ne seront pas nécessairement celles des référentiels de l’ANSSI. Ce référentiel, initiative privée, ne sera pas nécessairement repris dans son intégralité par les travaux de l’ANSSI.

 

Une démarche expérimentale pour définir un modèle de certification des CSP en 2016 

Une nouvelle version des référentiels de l’ANSSI « secure cloud » et « secure cloud plus » a été élaborée et discutée, mais non publiée. Le travail réalisé avec Oodrive vise à les parfaire dans le cadre d’un travail commun avec le certificateur LSTI. Cependant, l’ANSSI précise au cours de cet atelier que 3 certificateurs seront finalement retenus pour ces certifications ANSSI : LSTI, Afnor Certification et le LNE.

Les travaux autour de ces référentiels se font en association avec l’Allemagne dans un bon esprit de coopération.

Les nouveaux référentiels devraient être publiés au cours du premier trimestre 2016. Les cloud services providers seront libres de se faire certifier, ou non. Les entreprises privées auront le choix de recourir ou non à des CSP certifié (1° ou 2° niveau), ou non.

 

Des obligations réglementaires pour les administrations et les OIV…

Charles Schulz a expliqué cependant que les OIV (opérateurs d’importance vitale) pourraient pour leur part devoir recourir aux prestations de CSP certifiés « secure cloud plus » en application d’un arrêté qui pourrait être publié à la suite des travaux réalisés autour la LPM et de son article 22 (voie réglementaire) dans le courant de l’année 2016. 

Pour la certification « secure cloud plus », les notions d’infrastructures dédiées, maintenues par l’éditeur ou l’opérateur, hébergées en France et disposant d’un support en France paraissent être des éléments peu contournables. La possibilité d’une connexion d’un acteur américain à une data room utilisée pour des opérations de fusion-acquisition en France apparaît ainsi comme étant une dangereuse faille de sécurité dont il convient de se protéger, explique-t-on.

 

… reprenant les bonnes pratiques et se justifiant sur les questions de besoins de souveraineté SSI

Pour le reste, les référentiels reprennent une série de bonnes pratiques habituelles : politique de contrôle d’accès physique de base, authentification forte avec mots de passe « haché et salé » et pour le niveau « secure cloud plus », authentification MFA (multi-facteurs) ou avec certificat numérique.  Pour le chiffrement, le niveau logiciel est requis pour le niveau « secure cloud » et l’emploi de HSM (modules hardware) sera exigé pour le niveau « secure cloud plus ». 

Oodrive expose les principes de la « cérémonie des secrets » avec l’exemple d’un HSM Bull qui permet de créer 5 codes : 3 sont remis à l’entreprise et 2 sont conservés par Oodrive. Pour avoir la clé complète, la réunion des 5 codes est ensuite nécessaire. 

"Au final", explique Charles Schulz,  "ces travaux sur la certification des opérateurs de services de cloud computing est tout à fait cohérente avec la PSSI de l’Etat (PSSIE). Il existe bien entendu des travaux analogues menés au sein d’autres institutions de l’Union européenne, ou encore de la Cloud Security Alliance (CSA) : mais tout ceci est cohérent. « Le besoin de souveraineté sur de telles questions » explique-t-il « est tel qu’il faut des référentiels français et des certifications françaises ».

 Il y a aussi la norme ISO 27018 (protection de la vie privée et cloud computing) et la future norme ISO 27017 (sécurité du cloud computing). Cette dernière norme étant presque achevée puisque la version FDIS (final draft) a été publiée le 31 juillet dernier. Cela fait beaucoup de normes, référentiels et certifications. L’homologue hollandais de l’ANSSI, Dutch National Cyber Security Center, de son côté avec des grandes sociétés pour élaborer dès le début des années 2010 le référentiel cloudcontrols (voir  www.cloudcontrols.org). La remarque est formulée dans la salle que les leaders français sont souvent des multinationales, ouvrant un doute sur la cohérence et l’applicabilité de l’ensemble des différents référentiels … « Et alors ? »  demande Charles Schulz. « Cela ne simplifie pas les choses … ». « Oui, mais c’est une question de souveraineté… ». L’atelier ne permet pas de conclure entre les différents avis et les différentes interrogations.

 

Veille réglementaire et réflexion

Que conclure pour les entreprises exposées à de tels risques réglementaires ? Sans doute de mettre en œuvre une veille réglementaire sur ces sujets pour être en mesure, le cas échéant, d’adapter leur stratégie de choix de fournisseurs pour conserver toute l’agilité et la puissance proposées par les acteurs de premier plan mondiaux (avec l’efficacité et les économies associées) en restant conformes avec les besoins de souveraineté clairement explicités au cours d’un tel atelier lors des Assises de la Sécurité 2015, à Monaco. 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS