Comment analyser et mesurer les risques liés au Cloud ?

A ce jour, il n’existait aucune méthode d’analyse des risques de sécurité spécifiques au Cloud. Ce dernier suscite un engouement important au sein des entreprises, mais freiné par l’existence de risques de sécurité inquiétant fortement les actuels et futurs utilisateurs.

Tandis qu’un engouement majeur et incontestable soutient le développement du Cloud, des doutes liés aux questions sécuritaires freinent son essor. Répondre à ces doutes devient un enjeu crucial.
Les fournisseurs y répondent par deux stratégies distinctes.
La première consiste à fournir un service Cloud dédié à la sécurité et appelé Security As A Service.
La seconde concerne tous les engagements pour tenter de démontrer leur capacité à garantir la sécurité des données clients. Toutefois à ce jour, aucune méthode pour qualifier et contrôler efficacement le niveau de sécurité d’un service Cloud n’avait été développée.
La méthode décrite ci-après offre un moyen aux entreprises de maîtriser les risques sécuritaires liés au Cloud. Elle les aide alors à décider si elles se lanceront ou non dans un tel projet, les soutient dans l’analyse des différentes offres du marché et surtout les guide pour maintenir un bon niveau de sécurité malgré la transformation totale ou partielle de leur SI.
Bâtir une méthode d’évaluation des risques d’un service de Cloud demande de franchir un certain nombre de difficultés :
1.
Construire un Référentiel de risques spécifiques au Cloud, qui permette à chaque entreprise de disposer d’un catalogue de risques le plus complet possible tandis que le recul sur cette nouvelle façon de fournir des services est faible.
2.
Évaluer la fréquence ou la probabilité des risques liés aux Cloud dans un contexte qui démontre que le niveau de maturité est très hétérogène en fonction des risques ou des fournisseurs.
3.
Fournir la capacité à comparer le Cloud par rapport à un existant, afin d’offrir aux DSI mais surtout aux utilisateurs finaux la faculté à comprendre ce qui change lorsque tout ou partie de son SI est transformé par un passage dans le Cloud.
4.
Proposer des mesures de traitements des risques pour disposer d’une approche holistique, mais également ciblée sur le Cloud, puisque pour certaines entreprises la question du Go-NoGo dans le Cloud ne se pose plus et la question du Comment devient majeure.
5.
Maintenir une logique de réduction du coût dans la construction de cette méthode, tandis que l’atout principal de Cloud reste la capacité à optimiser ses coûts, et qu’il est alors nécessaire de délivrer une méthode tout aussi efficace sur ce point.
La démarche suivie pour bâtir cette méthode d’évaluation des risques a permis de contourner ces difficultés.

Dans un premier temps, les étapes de la méthode d’analyse de risque ont été définies, ainsi que les règles d’évaluation des risques en croisant le niveau d’impact et le niveau de probabilité de survenance du risque. Cette méthode d’analyse de risques s’inspire des méthodes répandues telles que la méthode EBIOS[1] ou MEHARI[2] et sera ainsi compréhensible par un grand nombre d’interlocuteurs. L’identification des risques ou la construction du Référentiel de risques a été menée grâce à la consolidation des résultats des travaux de recherche, et en particulier des documents de l’ENISA, du CSA et du NIST ; à partir de cette base de référentiels et de la constitution d’une bibliographie, un certain nombre de brainstormings ont été organisés.
Ces brainstormings avec des experts reconnus dans les domaines du Risk Management et des Audits de Sécurité ont enrichi significativement le référentiel de risques  « Cloud Computing ». Ce référentiel a également été partagé avec un panel de nos clients pour recueillir leurs retours tant sur son contenu que son usage dans leurs secteurs.
Ensuite, une évaluation « générique » des risques a été proposée pour permettre une utilisation immédiate de la méthode. Elle donne deux niveaux de risques généraux, l’un estimant le cas d’une migration dans le Cloud et l’autre estimant le cas d’une solution gardée dans le périmètre interne d’une organisation. Cela permet à une entreprise donnée de comparer son analyse de risques liés au Cloud à une analyse générique d’une part, mais aussi de comparer le niveau de risques d’un périmètre donné dans le Cloud au même périmètre gardé en interne.
La méthode d’évaluation des risques repose ensuite sur la connaissance du contexte du client, les niveaux d’impact et de probabilité étant adaptés aux enjeux métiers et sécuritaires de l’entité qui souscrit à un service Cloud.
Enfin, pour construire la base de connaissance des mesures permettant de traiter les risques identifiées, la norme ISO 27002:2008 a servi de structure. Un certain nombre de consultants certifiés Lead implementer ou Lead auditor ISO 27001 ont contribué à l’enrichissement de cette base en listant les mesures associés à chaque risque et en évaluant l’effort associé à la mise en place de ces mesures.
Cette méthode a la capacité de s’auto alimenter pour se maintenir à l’état de l’art à travers les diverses analyses de risques qui vont être menées dans différents contextes.
La méthode O.S.C.A.R. pour Optimisation de la Sécurité du Cloud par l’Analyse de Risques, issue de ces travaux, est composée des 4 étapes distinctes suivantes :

  • Étape 1 : Évaluation des besoins métiers et contexte de services cloud
  • Étape 2 : Analyse de risques (identification des risques, évaluation des risques bruts, traitement des risques, évaluation des risques résiduels)
  • Étape 3 : Estimation de l’effort de mise en œuvre des mesures de traitement des risques
  • Étape 4 : Plan d’action

Étape 1 : Évaluation des besoins métiers et contexte de services « cloud ».
Dans cette étape, il s’agit de présenter la finalité du service et les éventuelles motivations à utiliser un service de « Cloud », en particulier, les forces et les éventuelles opportunités associées au service de « Cloud ».
Cette étape consiste aussi en la compréhension des enjeux sécuritaires associés aux besoins métiers afin de pondérer l’évaluation des risques en conséquence. Enfin, cette étape a pour objectif sous-jacent de faire discuter le Métier et la DSI sur les besoins fonctionnels et leurs enjeux d’une part et les enjeux sécuritaires associés à cette solution d’autre part. Cet échange est le point de départ pour garantir la maîtrise des risques du projet Cloud.

Étape 2 : Analyse de risques (identification des risques, évaluation des risques bruts, traitement des risques, évaluation des risques résiduels)

Identification des risques
Comme décrit précédemment, un référentiel de risques a été construit. Ils sont au nombre de 44 et sont classés selon 4 thématiques : risques Politiques & Organisationnels, risques Techniques, Risques Juridiques & Réglementaires et Risques Physiques. Ci-dessous sont proposés 4 exemples non détaillés pour illustrer ce Référentiel de risques.

Risques Politiques et Organisationnels

Infrastructure Inaccessible

Un événement social, une guerre civile, un changement de régime politique peut rendre l’accès au(x) lieu(x) de stockage du matériel impossible

Risques Techniques

Synchronisation horaire défaillante

Un changement de fuseau horaire ou le passage à une heure d’été/hiver peut provoquer une mauvaise synchronisation horaire

Risques Juridiques et Réglementaires

Défaut de responsabilité

Une mauvaise définition des responsabilités des acteurs (client/fournisseur) vis-à-vis de tiers peut être problématique

Risques Physique

Catastrophe naturelle

Un PRA inexistant ou mal conçu peut stopper ou ralentir l’activité d’un fournisseur temporairement ou pas

Pour chaque risque est mentionné le ou les critère(s) de sécurité impacté(s) (Disponibilité, Intégrité, Confidentialité et Traçabilité). Il est aussi également précisé si le risque est applicable en mode SaaS, PaaS et/ou IaaS et s’il relève du client du Cloud et/ou du fournisseur.

Évaluation des risques
L’évaluation des risques est, comme la majorité des méthodes d’analyses de risque, la combinaison de la probabilité d’occurrence et du niveau d’Impact du risque.
L’évaluation « moyenne » d’un risque (évaluation du risques = probabilité x impact) est une combinatoire des évaluations moyennes fournies par l’ENISA, d’une base d’incident fournies par Devoteam et de tiers (en particulier sur la probabilité d’un risque) et de l’exposition au risque du client.

Eval moyenne d’un risque = F (Eval moyen risque ENISA, Prob base incidents externes, Dégré exposition au risque client)

Cette base d’évaluation des risques doit pouvoir s’enrichir en fonction des évolutions technologiques et de la maturité côté fournisseurs et clients (sur les besoins et les services proposés).

Afin d’accroître l’aide à la décision, la méthode permet :

  • d’évaluer le niveau de risque d’une offre de Cloud,
  • d’évaluer le niveau de risques de plusieurs offres et de les comparer
  • de comparer le niveau de risques sécurité du service de Cloud par rapport au même service si ce dernier était internalisé.

Une évaluation générique des risques est proposée pour une entreprise souhaitant avoir un aperçu global des risques liés au Cloud. Une évaluation affinée est effectuée grâce à la première étape et à des échanges entre l’évaluateur et l’entité qui souscrit un service Cloud.

Traitement des risques
Les mesures identifiées pour diminuer le niveau de risque sont issues de l’ISO 27002, et pour certaines déclinées opérationnellement pour répondre aux spécificités du Cloud Computing.
La méthode propose dans un premier temps de déterminer qui peut mettre en place ces mesures (le client du Cloud et/ou fournisseur du Cloud ?) et de quelle manière ces mesures agissent sur les risques. Les mesures retenues sont sélectionnées par l’entité à partir de la liste des mesures applicables associées aux  risques qu’elle juge inacceptables en l’état.
Le choix d’appliquer telle ou telle mesure permet de mettre en avant le risque résiduel.

Étape 3 : Estimation de  l’effort de mise en œuvre des mesures de traitement des risques.
Une fois la liste des mesures retenues par le client du Cloud identifiée, O.S.C.A.R. se propose d’évaluer les « coûts » de mise en œuvre de ces mesures.
L’estimation des coûts des mesures est établie sur la base de connaissance construite telle qu’expliqué précédemment. Elle propose un « coût » basé sur l’effort que doit supporter l’organisation afin de mettre en œuvre ces mesures en termes de charge de travail nécessaire, de complexité de la mesure mais aussi du contexte politique et organisationnel rencontré et de délais d’implémentation.

Étape 4 : Plan d’action
L’objectif final est de fournir les résultats sous forme d’une synthèse d’aide à la décision présentant l’évaluation des risques bruts, les risques qui doivent faire l’objet d’un traitement, la liste des mesures applicables et retenues, l’effort de mise en œuvre associé et l’évaluation des risques résiduels cibles.
Ces éléments peuvent faire l'objet d'une comparaison soit entre plusieurs fournisseurs de Cloud, soit par rapport à une autre solution interne.

En conclusion, O.S.C.A.R. est une méthode spécifique au Cloud qui permet de fermer la brèche qui existe entre l’engouement suscité par le Cloud et les craintes associées en offrant la capacité à :

  • sécuriser sa solution Cloud,  
  • évaluer les « coûts cachés » du Cloud, c’est-à-dire l’effort associé à la mise en œuvre des mesures de sécurité nécessaires pour garantir un niveau de risque acceptable d’une solution Cloud,
  • et garder la maîtrise de son SI externalisé.

O.S.C.A.R., compte-tenu de l'objectif d'efficacité et de simplicité identifié préalablement, est en cours d'intégration dans un outil pour industrialiser le déroulement de la méthode ; cette phase d'industrialisation permet de réduire de façon très significative la durée d'une évaluation en diminuant la charge de travail nécessaire pour mener à bien cette évaluation des risques et de faciliter la mise en œuvre des mécanismes de type "What If".

------------------------
[1]
EBIOS ou Expression des Besoins et Identification des Objectifs de Sécurité, développée en 1995 par l’ANSSI et remise à jour en 2010 http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/ebios-expression-des-besoins-et-identification-des-objectifs-de-securite.html
[2]
MEHARI est une méthode d’analyse de risques développée par le CLUSIF dont la nouvelle version date de 2010 www.clusif.asso.fr/fr/production/mehari/

Autour du même sujet