Sécurité et Cloud : l'Anssi et le Syntec publient leurs recommandations

Deux documents de référence viennent guider les DSI dans la mise en place d'un service Cloud sécurisé. Les closes, sur la qualité du service et la reversibilité du contrat, sont notamment détaillées.

Les offres Cloud Compting ont beau se multiplier, elles continuent de susciter une certaine circonspection chez les DSI, notamment pour des raisons de sécurité. Deux livres blancs viennent coup sur coup d'être mis en ligne afin de répondre à bon nombre de leurs légitimes interrogations.

L'Anssi, agence nationale de la sécurité des systèmes d'information, a ainsi publié un guide pour maîtriser les risques de l'infogérance, un mot derrière lequel il faut aussi lire Cloud Computing.

L'Anssi y liste d'abord les risques liés à l'externalisation. Ils sont désormais bien connus : perte de la maîtrise du système d'information (localisation des données non maîtrisée par exemple), risques liés aux interventions à distance (abus de droits par un technicien) ou ceux liés à l'hébergement mutualisé, "susceptible de générer des obstacles supplémentaires pour répondre à un incident". Sans surprise, l'Anssi recommande toutefois de privilégier "l'hébergement sur une machine spécifique. D'autant que "sauf demande explicite, une solution d'hébergement mutualisé sera prioritairement retenue par l'hébergeur".

 

Exigences de sécurité à intégrer dans un cahier des charges

L'Anssi suggère ensuite les bonnes exigences de sécurité à intégrer dans un cahier des charges, par exemple : taux de disponibilité de 99,9% contractuel, accès aux logs en moins de 24h, patchs de sécurité appliqués 48h maximum après leur publication, etc.

Quant à la reversibilité du contrat la migration entre Cloud, il existe plusieurs APIs Cloud émergentes citées par le Syntec.

Parmi "les conditions essentielles de maîtrise des risques", la liste d'exigences doit aussi notamment évoquer l'essentielle réversibilité du contrat, doit mettre l'accent sur le plan d'assurance sécurité, qui doit être demandé dans l'appel d'offres et annuler et remplacer la clause de sécurité générique. Dans la convention de service, il pourra ainsi être demandé au prestataire des engagements concernant par exemple le temps de réponse d'une application ou de certaines requêtes, le temps garanti d'intervention sur site ou encore celui nécessaire pour la remise en état d'un composant matériel ou logiciel.

De très nombreux modèles de clauses de sécurité et notamment ceux relatifs à la confidentialité en cas de sous-traitance sont aussi disponibles dans le document de l'Anssi.

 

La sécurité du Cloud selon le Syntec

Complétant à la fois le document de l'Anssi mais aussi son premier livre blanc sur le Cloud Computing mis en ligne en avril, le Syntec Numérique publie aussi un second volet plus précisément axé sur la sécurité de l'informatique dans les nuages.

Il vise à "apporter des réponses simples et concrètes" aux décideurs. Le livre blanc explique ainsi, parfois en quelques lignes, " les 9 risques-clés et leur prévention" , parmi lesquels on retrouve notamment, en plus des points abordés par l'Anssi, la sécurité physique, la question du cloisonnement ressources/données/applications entre plusieurs clients hébergés sur les mêmes infrastructures physiques mutualisées.

Parmi ses points saillants, le livre blanc apporte d'utiles précisions quant à la fameuse réversibilité du contrat. "Pour faciliter la migration entre Cloud, il existe plusieurs APIs Cloud émergentes sur le marché, proposées par des consortiums ou des sociétés privées. On privilégiera les APIs des organismes de standardisation dès lors que ces APIs auront commencées à être utilisées par un nombre significatif de fournisseurs Cloud. Ainsi CDMI ou SNIA's Cloud Data Management Interface dont l'objectif est de permettre la portabilité, la conformité, la sécurité des données et l'interopérabilité entre différents fournisseurs de Cloud. De plus, il existe un standard OVMF (Open Virtual Machine Format) qui permet une exportation et une importation simplifiée entre les différentes plates-formes de Cloud Computing", explique le livre blanc, auquel ont participé plusieurs fournisseurs de solutions Cloud.

Les deux documents sont cependant suffisamment techniques et complets pour rester des ouvrages de référence à consulter sur des points précis.