Jakub Jirsk - Fotolia
Migration des SI sensibles vers le cloud : l’ANSSI clarifie sa position
Dans un guide daté du 1er juillet, l’ANSSI a proposé des recommandations concernant « l’hébergement dans le cloud des systèmes d’information sensibles ». Un document qui fait la part belle aux offres qualifiées SecNumCloud, même si elles ne sont pas la réponse à tous les enjeux cyber, prévient l’agence.
L’agence nationale de la sécurité des systèmes d’information s’adresse aux ministères, aux Administrations, aux opérateurs d’importances vitales (OIV) et de services essentiels (OSE). En clair, L’ANSSI cible plus de 200 entreprises et organisations publiques réparties dans 18 secteurs (santé, défense, transport, alimentation, énergies, etc.).
Ces recommandations couvrent la migration potentielle vers le cloud des systèmes d’information de niveau de diffusion restreinte, des SI sensibles et ceux relevant de la doctrine cloud au centre, des SI sensibles des OSE et des OIV ainsi que des SIIV (Système d’information d’importance vitale).
Pour guider les acteurs concernés, l’ANSSI distingue les offres cloud « commerciales » des offres dites « non commerciales ». Les offres cloud commerciales sont rangées en trois catégories : publiques, privées et communautaires. L’expression communautaire renvoie à « un cloud physiquement dédié à un ensemble d’entités d’intérêt commun, étatiques ou privées ». Les offres non commerciales correspondent aux systèmes « cloud » déployés en interne ou de manière communautaire. Pour l’État, l’ANSSI donne l’exemple des clouds internes Nubo (DGFIP, données sensibles) et communautaires PI (ministère de l’Intérieur, diffusion restreinte).
Dans ce document de 16 pages, l’autorité ne fournit finalement que peu de conseils techniques. Il présente également les typologies des cybermenaces et les risques d’ingérences que représentent les lois extraterritoriales. Il a toutefois le mérite de clarifier plusieurs points, en commençant par conseiller le recours à des offres qualifiées SecNumCloud pour l’ensemble des SI sensibles évoquées plus haut.
« Les offres qualifiées SecNumCloud à ce jour sont celles de Cloud Temple, Oodrive et Worldline (SecNumCloud 3.1) ainsi que celles d’Index Education [éditeur de Pronote, N.D.L.R.], Outscale et OVHCloud (SecNumCloud 3.2) », précise l’agence dans un billet sur LinkedIn.
Diffusion restreinte : les offres commerciales qualifiées SecNumCloud envisageables sous conditions
Par ailleurs, l’agence apporte une réponse aux responsables de SI diffusion restreinte, un élément attendu par les industriels de la défense.
« L’ANSSI préconise les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées permettant de disposer d’une infrastructure dédiée évitant le risque de latéralisation d’un attaquant depuis l’environnement d’un client vers un autre », note-t-elle.
Les offres de cloud commerciales publiques ou communautaires « peuvent être envisagées », mais la mutualisation des infrastructures est toutefois présentée comme un risque que les acteurs concernés par le sigle « DR » doivent anticiper. Cette décision sera, de préférence, justifiée par une analyse de risques, informe l’ANSSI. « Il est envisageable d’héberger un SI Diffusion restreinte sur une offre commerciale qualifiée SecNumCloud en démontrant que la solution est protégée au niveau adéquat », retient Victor Vuillard, Chief Security Officer chez S3NS, sur LinkedIn.
L’ANSSI ajoute toutefois une condition supplémentaire, puisque l’accès aux informations diffusion restreinte est conditionné par la nationalité. Il existe typiquement un niveau DR français et un autre régi par l’Union européenne. « Une attention particulière doit être portée au lieu d’hébergement et à la nationalité des administrateurs », insiste l’agence.
Pour rappel, S3NS, la joint-venture de Thales et de Google Cloud n’a pas encore obtenu sa qualification SecNumCloud. Le dossier de candidature a été déposé le mois dernier.
L’agence rappelle par ailleurs que ces conseils « ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud ».
Les OIV et les OSE invités à opter pour les clouds de confiance
Quant aux OSE et aux OIV, l’ANSSI leur recommande de se tourner vers tout type d’offres SecNumCloud pour leurs systèmes d’information sensibles et vers les offres internes et communautaires, ainsi que les offres commerciales privées pour leur SIIV.
Comme l’indique Victor Vuillard, l’autorité ne s’opposera pas à l’hébergement d’un SI d’Importance Vitale sur une offre cloud commerciale, à condition qu’elle soit qualifiée SecNumCloud et « sous réserve d’une analyse de risques argumentée ».
En revanche, les SI sensibles rattachés à la doctrine « Cloud au centre », ceux des ministères et des administrations, ne peuvent être hébergés que sur les offres qualifiées SecNumCloud.
Logiquement, les fournisseurs ayant déjà obtenu la qualification SecNumCloud saluent ces recommandations, considérant qu’elles clarifient les chemins de migration des SI sensibles vers le cloud et valident leur stratégie d’investissement.
« Ces recommandations, par ailleurs en cohérence avec la doctrine “Cloud au centre” de l’État, valident la stratégie d’OVHcloud d’investir dans la qualification SecNumCloud et ce, depuis 2020 », se félicitent les porte-parole d’OVHcloud, dans un communiqué de presse.
« Outscale salue cette initiative de l’ANSSI, qui fournit un guide clair et accessible pour tous les décideurs », déclare pour sa part David Chassan, directeur de la Stratégie, OUTSCALE, Dassault Systèmes.
Un guide « non contraignant »
Pour autant, les OSE et les OIV ne sont pas forcément soumis aux mêmes règles. Le document n’est pas forcément contraignant, rappelle l’ANSSI ; et de recommander d’éclairer systématiquement le choix de la solution cloud par des analyses d’impact et de risques, conduites par des équipes juridiques, les responsables des opérations des SI, des traitements de données et de la cybersécurité. La qualification SecNumCloud ne préjuge pas des mesures prises par les clients des offres commerciales, qui sont censées configurer les règles de filtrage et d’accès et idéalement se former aux évolutions induites par le cloud.
« Il est, par ailleurs, important de prévoir une clause de réversibilité permettant de faciliter la migration d’une technologie cloud vers une autre, afin de limiter la dépendance à une seule offre cloud, et à ses évolutions fonctionnelles et de sécurité », lit-on dans le document.
Enfin, comme le schéma de certification européen pour les services cloud (EUCS) n’est pas encore entré en application, l’ANSSI indique qu’elle fera évoluer ses recommandations en conséquence.
Les offres non commerciales de l’État, en dehors du périmètre SecNumCloud
Si l’ANSSI fait la distinction entre les offres commerciales et non commerciales, seules des offres commerciales sont actuellement qualifiées SecNumCloud.
« Le référentiel SecNumCloud est destiné à encadrer des relations entre un prestataire et son client, et comporte notamment à ce titre de nombreuses exigences relatives à une relation contractuelle et à la répartition associée des responsabilités. Celles-ci ne sont pas transposables à des offres de cloud internes, notamment celles construites et maintenues par l’administration », confirme l’agence auprès du MagIT. « Ces dernières, les “offres non commerciales de l’État” ne sont donc stricto sensu pas qualifiables au regard du référentiel SecNumCloud ».
« En revanche, l’ANSSI travaille spécifiquement avec les porteurs de ces offres internes à l’État (PI et NUBO) pour les sécuriser au mieux, notamment sur la base des exigences applicables du référentiel SecNumCloud », précise-t-elle.
LeMagIT a interrogé l’ANSSI sur la possibilité pour les entreprises souhaitant migrer leurs SI sensibles vers des offres de cloud non commerciales de bénéficier des mêmes conseils et du support de l’Agence ou de ses partenaires pour respecter les mesures du SecNumCloud sans obtenir la qualification. Elle n’a pas donné suite à cette demande.
Article mis à jour le 15 juillet 2024 avec les précisions de l’ANSSI quant au statut des offres non commerciales de l’État au regard de la qualification SecNumCloud.