jeudi 22 août 2019    || Inscription
BanniereNews
 
 

Les Assises de la sécurité ont été l’occasion pour le cloud service provider (CSP) Oodrive de faire un point sur son offre et de présenter avec l’ANSSI les avancées sur les référentiels de sécurité pour le cloud computing, les certifications des CSP et les possibles obligations réglementaires à venir.

 

Oodrive se présente comme étant le 39° éditeur de logiciels français, comptant 300 salariés et 15.000 clients. Il est utilisé par 80% des entreprises du CAC 40. Il propose des solutions SaaS ou « on premise », dans les locaux des entreprises. Il a racheté les activités de CERT Europe et participe activement à la dématérialisation de nombreux documents, dont ceux des conseils d’administration des entreprises. 

Oodrive met en avant l’importance  qu’il accorde aux diverses certifications. Il cite rapidement la certification cloud confidence, présente l’intérêt des certifications ISO 27001 et RGS, puis développe le projet de certification « secure cloud plus » pour lequel il est acteur pilote avec l’ANSSI. La parole est alors laissée à Charles Schulz de l’ANSSI qui présente les travaux sur le référentiel « secure cloud » et le référentiel « secure cloud plus » appelés à devenir des référentiels de certification.

 

Quelles exigences imposer aux opérateurs de cloud computing ?

« Le cloud computing »  déclare Charles Schulz en introduction « tout le monde y va ; parfois n’importe comment ». « Il faut travailler avec les éditeurs et les prestataires qui apportent de la sécurité et de la confiance : cela constitue une groupe plus limité d’acteurs ». Une approche structurelle a été constituée sur une base structurelle proche de l’ISO 27001 à laquelle a été ajouté, ou greffé, d’autres éléments d’autres éléments pour prendre en compte la réalité d’un écosystème. « Il faut faire œuvre de pédagogie pour parvenir à une prise de conscience » explique Charles Schulz. Les référentiels, explique-t-il, prennent en compte la sécurité physique, les besoins de séparation des environnements divers par des choix d’architecture, les besoins de chiffrement ou encore de localisation des données. 

Les référentiels « secure cloud » (niveau 1) et « secure cloud plus » (niveau 2) doivent répondre à la question des exigences de sécurité que doivent poser les entreprises, et les instances gouvernementales, à leurs fournisseurs CSP.

Un projet de référentiel a été publié pour appel à commentaires en juillet 2014, qui s’inspire fortement de l’ISO 27001 et du RGS. Un grand nombre de commentaires a été formulé, dont certains parfois critiques. Le tout a fait l’objet d’analyses approfondies de la part de l’ANSSI. 

De manière concomitante et indépendante, une association a  cherché à promouvoir un autre référentiel certifiant « cloud confidence » dont les exigences ne seront pas nécessairement celles des référentiels de l’ANSSI. Ce référentiel, initiative privée, ne sera pas nécessairement repris dans son intégralité par les travaux de l’ANSSI.

 

Une démarche expérimentale pour définir un modèle de certification des CSP en 2016 

Une nouvelle version des référentiels de l’ANSSI « secure cloud » et « secure cloud plus » a été élaborée et discutée, mais non publiée. Le travail réalisé avec Oodrive vise à les parfaire dans le cadre d’un travail commun avec le certificateur LSTI. Cependant, l’ANSSI précise au cours de cet atelier que 3 certificateurs seront finalement retenus pour ces certifications ANSSI : LSTI, Afnor Certification et le LNE.

Les travaux autour de ces référentiels se font en association avec l’Allemagne dans un bon esprit de coopération.

Les nouveaux référentiels devraient être publiés au cours du premier trimestre 2016. Les cloud services providers seront libres de se faire certifier, ou non. Les entreprises privées auront le choix de recourir ou non à des CSP certifié (1° ou 2° niveau), ou non.

 

Des obligations réglementaires pour les administrations et les OIV…

Charles Schulz a expliqué cependant que les OIV (opérateurs d’importance vitale) pourraient pour leur part devoir recourir aux prestations de CSP certifiés « secure cloud plus » en application d’un arrêté qui pourrait être publié à la suite des travaux réalisés autour la LPM et de son article 22 (voie réglementaire) dans le courant de l’année 2016. 

Pour la certification « secure cloud plus », les notions d’infrastructures dédiées, maintenues par l’éditeur ou l’opérateur, hébergées en France et disposant d’un support en France paraissent être des éléments peu contournables. La possibilité d’une connexion d’un acteur américain à une data room utilisée pour des opérations de fusion-acquisition en France apparaît ainsi comme étant une dangereuse faille de sécurité dont il convient de se protéger, explique-t-on.

 

… reprenant les bonnes pratiques et se justifiant sur les questions de besoins de souveraineté SSI

Pour le reste, les référentiels reprennent une série de bonnes pratiques habituelles : politique de contrôle d’accès physique de base, authentification forte avec mots de passe « haché et salé » et pour le niveau « secure cloud plus », authentification MFA (multi-facteurs) ou avec certificat numérique.  Pour le chiffrement, le niveau logiciel est requis pour le niveau « secure cloud » et l’emploi de HSM (modules hardware) sera exigé pour le niveau « secure cloud plus ». 

Oodrive expose les principes de la « cérémonie des secrets » avec l’exemple d’un HSM Bull qui permet de créer 5 codes : 3 sont remis à l’entreprise et 2 sont conservés par Oodrive. Pour avoir la clé complète, la réunion des 5 codes est ensuite nécessaire. 

"Au final", explique Charles Schulz,  "ces travaux sur la certification des opérateurs de services de cloud computing est tout à fait cohérente avec la PSSI de l’Etat (PSSIE). Il existe bien entendu des travaux analogues menés au sein d’autres institutions de l’Union européenne, ou encore de la Cloud Security Alliance (CSA) : mais tout ceci est cohérent. « Le besoin de souveraineté sur de telles questions » explique-t-il « est tel qu’il faut des référentiels français et des certifications françaises ».

 Il y a aussi la norme ISO 27018 (protection de la vie privée et cloud computing) et la future norme ISO 27017 (sécurité du cloud computing). Cette dernière norme étant presque achevée puisque la version FDIS (final draft) a été publiée le 31 juillet dernier. Cela fait beaucoup de normes, référentiels et certifications. L’homologue hollandais de l’ANSSI, Dutch National Cyber Security Center, de son côté avec des grandes sociétés pour élaborer dès le début des années 2010 le référentiel cloudcontrols (voir  www.cloudcontrols.org). La remarque est formulée dans la salle que les leaders français sont souvent des multinationales, ouvrant un doute sur la cohérence et l’applicabilité de l’ensemble des différents référentiels … « Et alors ? »  demande Charles Schulz. « Cela ne simplifie pas les choses … ». « Oui, mais c’est une question de souveraineté… ». L’atelier ne permet pas de conclure entre les différents avis et les différentes interrogations.

 

Veille réglementaire et réflexion

Que conclure pour les entreprises exposées à de tels risques réglementaires ? Sans doute de mettre en œuvre une veille réglementaire sur ces sujets pour être en mesure, le cas échéant, d’adapter leur stratégie de choix de fournisseurs pour conserver toute l’agilité et la puissance proposées par les acteurs de premier plan mondiaux (avec l’efficacité et les économies associées) en restant conformes avec les besoins de souveraineté clairement explicités au cours d’un tel atelier lors des Assises de la Sécurité 2015, à Monaco. 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 135788
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

Présentation par l'organisateur



Retour sur Les Assises 2018

La 18ème édition des Assises de la Sécurité à Monaco, c’est terminé ! Encore merci aux 2800 participants dont les 160 partenaires qui pendant trois jours se sont retrouvés pour faire vivre cet événement unique en France. Conférences, one-to-one, tables-rondes, ateliers, moments de networking… Par leur contenu, par la qualité des visiteurs et par la richesse des échanges, les Assises se positionnent plus que jamais comme le rendez-vous incontournable de tous les professionnels de la cybersécurité. A l’image du marché qui ne cesse d’évoluer, les Assises savent adapter leur offre afin de répondre au mieux aux attentes du secteur. Ainsi cette édition a-t-elle voulu mettre en avant les grands enjeux du moment en multipliant les prises de parole, les démonstrations et les retours d’expérience.

Rendez-vous maintenant pour la prochaine édition qui aura lieu du 9 au 12 octobre 2019

Plus d'informations sur le site dédié à l'événement.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

Présentation de l'événement par l'organisateur

Les professionnels de la carte et des technologies de la confiance numérique se donnent à nouveau rendez-vous à TRUSTECH du 26 au 28 novembre 2019 au Palais des Festivals de Cannes pour l’événement annuel phare de leur écosystème.
Créé il y a plus de 30 ans sous le nom CARTES SECURE CONNEXIONS afin de promouvoir une technologie qui venait de naître, celle de la carte à puce, l’événement est rebaptisé TRUSTECH en 2016 pour mieux refléter l’évolution du secteur.
Mix plébiscité entre salon, congrès et lieu d’échanges, TRUSTECH 2019 englobe toutes les technologies impliquées sur les marchés liés aux paiements, à l'identification et à la sécurité.
En tant que Marketplace globale, TRUSTECH accueillera plus de 250 exposants internationaux, sponsors et startups, qui présenteront leurs dernières innovations, annonceront les lancements de produits et solutions sur leur stand ou à travers des sessions de pitch sur l’Innovation Stage, espace situé au cœur de l’événement.
Cette année, le cycle des conférences proposera durant 3 jours un contenu de pointe axé sur trois grands thèmes alignés sur l’offre TRUSTECH: Paiements, Identification et Sécurité.

Plus d'infos sur le site de l'événement.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

Présentation par l'organisateur

Véritable plateforme d'échanges et de rencontres, le Forum International de la Cybersécurité (FIC) s'est imposé comme l'événement de référence en Europe en matière de sécurité et de confiance numérique. Son originalité est de mêler :
UN FORUM favorisant la réflexion et l'échange au sein de l'écosystème européen de la cybersécurité,
UN SALON dédié aux rencontres entre acheteurs et fournisseurs de solutions de cybersécurité.
Plus d'informations sur le site de l'événement.
RSS