Cloud de confiance : l'ANSSI sort son référentiel et lance un label avec l'Allemagne

Cloud de confiance : l’ANSSI sort son référentiel et lance un label avec l’Allemagne

Vite, un label de labels !

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

13/12/2016
12

Cloud de confiance : l'ANSSI sort son référentiel et lance un label avec l'Allemagne

Après plus de deux ans de travail, l'agence de sécurité informatique de l'État a mis en ligne la première partie de son référentiel, qui doit aider à certifier les prestataires cloud de confiance. Au niveau européen, ce programme est fusionné avec son homologue allemand, pour donner naissance au label ESCloud.

En matière de numérique, l'État a souvent deux mots à la bouche : confiance et sécurité. Qu'il s'agisse de développer la blockchain ou de trier les offres cloud, l'objectif affiché semble bien le même, avec des démarches à long terme. Les deux ans qu'a pris l'élaboration du référentiel SecNumCloud, ex-Secure Cloud, en est l'une des preuves. Initié dans le cadre de la Nouvelle France industrielle, il présente aujourd'hui un visage (presque) finalisé.

Hier, l'Agence nationale de sécurité des systèmes d'information (ANSSI), en charge de la cybersécurité de l'État et des opérateurs d'importance vitale (OIV), a enfin présenté la première partie de son travail. Il fixe les exigences de sécurité à remplir pour que des offres d'infrastructure (IaaS), de plateforme (PaaS) ou de logiciel comme service (SaaS) soient considérées de confiance.

Deux niveaux de certification et peu de candidats

Jusqu'ici, l'agence travaillait plutôt au cas par cas avec les acteurs assez importants pour qu'elle s'en occupe. Un travail de fourmi qui « montre ses limites, les offres étant le plus souvent packagées », selon elle. Pour ce référentiel, un appel à candidatures a été lancé en septembre 2014. Aujourd'hui, neuf prestataires ont participé à l'expérimentation, en étant évalués par trois centres d'évaluation entre mars 2015 et novembre 2016.

Ils peuvent choisir deux niveaux d'exigence. « Essentiel », publié hier, concerne le stockage et le traitement de données sur lesquelles un incident aurait des conséquences limitées. « Avancé », qui doit bientôt suivre, correspond aux données dont la compromission peut mettre en danger le client, voire sa pérennité. En étant validé via le référentiel « Avancé », un prestataire sera considéré comme conforme à la Politique de sécurité des systèmes d’information de l’État (PSSIE). Un vrai sésame.

Selon le site de l'ANSSI, trois prestataires sont en cours de qualification. Orange Cloud for Business a opté pour le niveau « Essentiel », quand Oodrive et Vendome Solutions veulent être validés comme acteurs de confiance « avancée ». Comme l'a affirmé Guillaume Poupard, les géants américains du numérique sont les bienvenus, même s'ils devront s'adapter, notamment en hébergeant les données dans l'Union européenne.

Des exigences nombreuses pour les prestataires

Pour être validé par l'ANSSI, un fournisseur de service cloud doit avoir une politique stricte à tous les échelons de l'entreprise. Les dizaines de points listés dans le référentiel ressemblent à une revue complète de l'organisation. Comme l'indique l'agence, cela concerne à la fois « le contrôle d’accès et la gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information ».

Des conditions d'embauche à l'organisation de la sécurité, en passant par la mise en place concrète du chiffrement et la continuité d'activité en cas d'incident, rien ne semble laissé au hasard. L'application de ces exigences et recommandations très précises peuvent, bien entendu, être vérifiée par le client ou l'ANSSI.

Au-delà de fournir des points de référence pour tous, ce document doit surtout aider les administrations et grandes entreprises dans leur choix d'un prestataire cloud. Le manque de critères communs en termes de sécurité a été perçu jusqu'ici comme l'une des raisons de la frilosité de l'administration à externaliser la gestion de ses données. Cela alors que l'État lui-même commence à lancer le mouvement.

Par exemple, dans une note d'information datée de juin, Bercy demandait aux administrations et établissements publics qui veulent du « cloud » de passer par des acteurs souverains, validés par le label Secure Cloud... qui n'était pas encore publié à l'époque. Près de six mois plus tard, personne ne semble avoir obtenu de certification définitive.

Lancement du label franco-allemand ESCloud

Aujourd'hui, au lendemain de la naissance de SecNumCloud, l'ANSSI a inauguré un nouveau label avec son homologue allemand, le Bundesamt für Sicherheit in der Informationstechnikle (BSI), qui propose lui son catalogue C5. Les deux agences de sécurité informatique ont lancé conjointement le label européen ESCloud, fondé sur les deux programmes nationaux.

Ils ont sélectionné 15 règles « techniques et organisationnelles » communes, qui doivent attester du sérieux de la démarche des États en matière de cybersécurité, de la rigueur des prestataires sélectionnés et, sans surprise, du traitement et stockage des données dans l'Union européenne.

Selon l'ANSSI, il s'agit du fruit d'une collaboration de longue date entre les deux organisations. « Le label franco-allemand de cloud computing sécurisé ESCloud est un très bon exemple de cette coopération, car il associe des initiatives nationales et améliore ainsi la cybersécurité en Europe » affirme Guillaume Poupard, dans le communiqué de l'agence française.

Les résultats concrets de l'ensemble de ces démarches devraient apparaître dans les prochains mois, alors que les labels publics et privés semblent se multiplier. Les retards de Secure Cloud de l'ANSSI ont, par exemple, laissé le champ libre au label France Cybersecurity, piloté par des organisations privées. S'il s'inscrit dans un plan défini par l'agence nationale, et a débuté avec des sociétés sélectionnées par celle-ci, le label n'en reste pas moins une rustine du secteur pour apposer une marque de confiance sur des acteurs qui attendent encore aujourd'hui une certification de l'État.

12

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Deux niveaux de certification et peu de candidats

Des exigences nombreuses pour les prestataires

Lancement du label franco-allemand ESCloud

Commentaires (12)


Le 13/12/2016 à 15h 59

Très bien, super référentiel, qu’on peut même finalement utiliser en tout ou partie pour sa propre entreprise.



L’ANSSI est pour moi un modèle d’Agence, et y’en a pas beaucoup en France (dans les domaines que je connais oeuf corse) avec la CNIL ou l’ARJEL


Il me semble qu’en Allemagne, il a l’air d’y avoir une certaine avance en matière de sécurité informatique, en tout cas, il a l’air d’y avoir là-bas une préoccupation plus importante qu’en France.


Le 13/12/2016 à 16h 36

En fait les boîtes allemandes ont le réflexe “acheter allemand”, donc de fait ya déjà moins de problèmes d’évasion des données.

Mais il est vrais qu’en France une partie importantes des boîtes ne ce pose même pas la questions, voir qu’en ont rien à secouer.



Je ne réponds pas au hasard, je suis juste admin sys dans une boîte dont c’est le métier, en France, et oui ça existe !


Le 13/12/2016 à 16h 40

Pour donner l’exemple de mon entreprise, on travaille beaucoup en sous-traitance pour EDF et le CNES, et on utilise les services Microsoft pour le Cloud. C’est pratique, mais on a du leur poser beaucoup de questions pour être certains que les données étaient stockées dans l’UE et ne sont pas copiées sur des sauvegardes aux Etas-Unis, et même encore on a des doutes.



Ce genre de certification simplifierait bien les choses.


Le 13/12/2016 à 16h 45

ya de quoi, tes données sont en europe, mais quand tu les visualises en ligne, ça ce fait via des serveurs là-bas.

La données n’est jamais stockée, mais la version transcodée dont tu n’es pas propriétaire n’est pas en Europe, je te laisse deviner la suite.


Le 13/12/2016 à 16h 48

C’est ça. A chaque étape de la vie du document, il faut se poser la question de savoir par où ça passe, et c’est difficile pour une petite entreprise.

Les américains font énormément de communication sur leurs services de cloud, donc ils occupent le terrain, mais à quel coût en terme de sécurité pour nos données ?


Le 13/12/2016 à 17h 00

En effet, c’est pas possible de savoir, même pour une grosse boîte, ça ne peut que reposer sur la confiance, hors avec une boîte américaine, avec leur législation c’est clair dés le départ qu’il ne peut pas y avoir confiance.



J’ai souvent à traiter des demandes dans le genre de la part de client, on leur répond, voir on s’adapte, mais on pourrait tout à fait mentir sans que personne ne puisse le vérifier.

C’est même déjà difficile pour un service interne de contrôle.



Si tu veux une solution 100% FR (financement, employés, machines, …), contact moi je te donnerais un contact dans ma boîte pour le coté business et je pourrais te répondre techniquement.


Le 13/12/2016 à 17h 24







Dedrak a écrit :



Pour donner l’exemple de mon entreprise, on travaille beaucoup en sous-traitance pour EDF







Site web ? Dev du firmware du linky ? Système d’information ?



Le 13/12/2016 à 18h 17

Ça sent pas bon, a voir qui va se faire agréer.



Les offres cloud IaaS/PaaS intéressantes sont déjà limités: AWS, Azure ? Heroku ? Scaleway ?

D’ailleurs si vous en connaissez d’autres je suis preneur, de préférences qui hébergent ou qui vont héberger leurs donnés dans l’UE.

Ça va être la misère pour développer du service moderne type SaaS pour l’état et les collectivités :(



Et j’imagine bien le scénario:

 - Okay, votre produit SaaS, il est hébergé chez qui ?

 - Scaleway, pourquoi ?

 - Ah, désolé, ce fournisseur n’est pas dans la liste de confiance de l’anssi, d’ailleurs cette liste se limite à “Oodrive” - Mais… c’est même pas du PaaS, on ne peut pas héberger nos services la-bas…


Xanatos Abonné
Le 13/12/2016 à 21h 39

Rien à voir linky c’est chez Enedis, les sites de chaque groupe de EDF sont gérés par les opéarateurs informatique respectifs.



 La candidature de Orange me fait sourire, je ne doute pas que les données soient en France, c’est la seule chose dont je ne douterai pas à vrai dire…

(mince vendredi est loin&nbsp; <img data-src=" />)


Le 14/12/2016 à 07h 59

À dire vrai, je constate qu’il faut peut avoir une approche segmentée entre données/services sensibles et tout venant sinon une offre globale secure risque de coûter très cher sans une justification pleine et entière.

Donc, perso, je vois dans l’approche de l’Anssi de la cohérence.


Le 14/12/2016 à 15h 23

Ah oui, exact, j’ai toujours du mal à me faire à l’idée que EDF et enedis/ERDF sont distinct maintenant.