Malgré la popularisation croissante du Cloud public, il s’avère toujours compliqué de savoir précisément si un Cloud est réellement sécurisé ou non. Il existe un besoin réel de rassurer clients et prestataires par rapport aux aspects de la sécurité des offres Cloud. On le voit notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu’il peut être fait de leurs données.
Le Cloud Public, porteur de débats au sein des experts en sécurité informatique
Des enquêtes datant de quelques années en arrière, interrogeant les dirigeants d’entreprises et RSI mettaient en lumière que le principal frein à l’adoption du Cloud Public était sa sécurité. La dernière enquête annuelle de Rigtscale sur le Cloud auprès de 1.060 professionnels IT montre que la sécurité n’est plus la préoccupation première pour adopter les usages du Cloud mais la formation des équipes et le manque de ressources.
Guillaume Poupard, le directeur général de l’ANSSI a évoqué dans son discours dès 2015 : « Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité ». En effet, alors un Cloud Privé, bien déployé est très onéreux, le Cloud Public permet de donner accès aux PME à des solutions sécurisées et fiables. Il semble que peu à peu, le Cloud Public soit devenu LA solution de sécurité pour les entreprises
Les certifications
Les certifications et labels donnent aux fournisseurs un moyen concret de monter leur maturité en matière de sécurité. Pourtant tous ces éléments ne se valent pas. Depuis 5 ans, différents labels ou référentiels ont vu le jour, mais aucun ne parvient encore à avoir l’aura dont dispose actuellement l’ISO 27001, une des références dans le domaine de la sécurité de l’information.
Aux Etats Unis, le CSA (Cloud Security Alliance) délivre des certificats de sécurité pour les fournisseurs Cloud appelé CSA STAR qui possède plusieurs niveaux différents d’exigence.
En France, l’ANSSI propose une certification appelée SecNumCloud et un label nommé Cloud Confidence. Ces deux étiquettes reposent en partie sur la norme ISO 27001 et se complètent au niveau du contenu. Ce qui permet aux entreprises de choisir le référentiel qui convient le mieux à leur problématique.
L’autre avancée importante sur le chemin d’une certification de sécurité Cloud pertinente a été la norme ISO 27017 en 2015. Peu de Cloud publics possèdent cette certification. Cette norme contient les directives relatives à l’implémentation de contrôles de sécurité de l’information pour les services de cloud.
Comparé au référentiel de l’ANSSI SecNumCloud, cette norme ISO 27017 se positionne aussi bien du côté fournisseur de Cloud qu’au niveau de l’entreprise utilisatrice.
La certification ISO 27017 : une bonne réponse aux problématiques de sécurité ?
Tout d’abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, …), mais de la compléter :
En précisant les mesures de sécurité existantes dans la 27002 et en distinguant l’application de cette mesure soit :
- vers le fournisseur Cloud
- vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
- vers les 2 parties
En ajoutant des mesures de sécurité manquantes de la 27002 comme :
- la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
- la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
- la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces …)
Si la norme ISO 27017 n’est pas beaucoup plus technique que les autres normes de la série 2700x, elle couvre bien l’ensemble des problématiques de sécurité.
