Les certifications sécurité du Cloud public à connaitre

Malgré le développement du Cloud public, il s’avère toujours compliqué de savoir précisément si un Cloud, et les services proposés par un prestataire Cloud, sont réellement sécurisés ou non.

Il existe un besoin réel d'informer les clients et prestataires par rapport à la sécurité des solutions de Cloud public, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données.

Le Cloud Public, porteur de débats au sein des experts en sécurité informatique

Des enquêtes datant de quelques années en arrière, interrogeant les dirigeants d'entreprises, DSI et RSSI mettaient en lumière que le principal frein à l'adoption du Cloud Public était sa sécurité (en même temps que le manque de ressources IT compétentes).

Dès 2015, Guillaume Poupard, le directeur général de l’ANSSI a évoqué dans son discours  : "Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité". En effet, alors un Cloud Privé, bien déployé est très onéreux, le Cloud Public permet de donner accès aux PME à des solutions sécurisées et fiables.

Il semble que peu à peu, le Cloud Public soit devenu LA solution de sécurité pour les entreprises ? Pas si simple.

Les certifications de sécurité Cloud

Les certifications et labels donnent aux fournisseurs un moyen concret de monter leur maturité en matière de sécurité. Pourtant tous ces éléments ne se valent pas. Depuis 5 ans, différents labels ou référentiels ont vu le jour, mais aucun ne parvient encore à avoir l’aura dont dispose actuellement l’ISO 27001, une des références dans le domaine de la sécurité de l'information.

Nom de la certification Périmètre couvert Dédié Cloud ? Spécificités   Durée de validité Commentaires Lien
ISO 27017  Tous les domaines de la SSI Oui 
(opérateurs et Clients)
 Code de bonnes pratiques  3 ans (comme ISO 27001) En complément d'une certification ISO 27001, ISO 27017 fournit des conseils spécifiques d'implémentation sur les mesures de  sécurité de l'information sur les services Cloud.   Lien vers site de l'ISO
 CSA STAR  Idem  Oui 
(opérateurs et Clients)
   1 à 3 ans  Il existe 3 niveaux d'assurance (auto-évaluation, certification tierce et audit continu) .
Ce référentiel est aussi complet que l'ISO 270017 mais est plus connu aux USA qu'en Europe.
 CSA Star
SecNumCLOUD  Idem Oui (opérateurs)  Uniquement français (ANSSI)  3 ans  En complément des référentiels ISO 27002 et ISO 27017,  ajoute de nouvelles exigences additionnelles spécifiques aux acteurs Cloud.
Référentiel plus précis et exigeant sur les niveaux attendus sur les mesures de sécurité techniques.
 Le référentiel SecnumCloud (PDF) 
ISAE 3402  idem Non (outsourcing de services)  Orienté Contrôle Interne   Cycle annuel de contrôle  ISAE 3402 n'est pas une certification, mais un dispositif de contrôle interne.

C'est une évolution de la norme SAS 70.  

 Site dédié à ISAE3402
 Tier
(Uptime Institute)


Orienté Datacenter  Non
(Datacenter) 
 Auto-évaluation ou Certification    Ne se focalise que sur le résilience intrinsèque du Datacenter (et contrairement à la légende n'impose aucune contrainte sur le nombre de fournisseurs externes d'électricité). Ne couvre pas les systèmes de détection incendie et extinction, la sécurité physique d’accès au site et salles.  Certification Tier 

La certification ISO 27017 : une bonne réponse aux problématiques de sécurité ?

Tout d'abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, ...), mais de la compléter :

En précisant les mesures de sécurité existantes dans la 27002 et en distinguant l'application de cette mesure soit :

  • vers le fournisseur Cloud
  • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
  • vers les 2 parties

En ajoutant des mesures de sécurité manquantes de la 27002 comme :

  • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
  • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
  • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces ...)

Si la norme ISO 27017 n'est pas beaucoup plus technique que les autres normes de la série 2700x, mais elle couvre bien l'ensemble des problématiques de sécurité d'un Cloud.

Le sinistre d'OVH et la certification SecNumCLOUD

OVHcloud a obtenu, début 2021, le visa de sécurité ANSSI pour sa qualification SecNumCloud pour sa solution Hosted Private Cloud (certification annoncée par OVH le 12 janvier 2021).

OVH a subi un sinistre majeur sur Strasbourg le 10 mars 2021 :

  • Plusieurs Datacenter ont été touché lors d’un incendie le 10 mars 2021 (SBG1/2/3/4). 
  • Le Datacenter SBG1 dont 4 salles ont été détruites sur 12, hébergeait notamment l’offre Hosted Private Cloud. On apprend que les sauvegardes de cette offre Hosted Private Cloud étaient stockées dans une autre salle du même datacenter SBG-1. Et donc que potentiellement les données de production et de sauvegarde pourraient être détruites. 

Dans le référentiel SecNum Cloud, en page 31, il est indiqué en § 12.5.d (Sauvegarde des informations) 

« Le prestataire doit localiser les sauvegardes à une distance suffisante des équipements principaux en cohérence avec les résultats de l’appréciation de risques et permettant de faire face à des sinistres majeurs. »  

Alors, évidemment il était proposé en option que les sauvegardes soient externalisées sur un autre Datacenter, mais est-ce qu'un Client non expert pouvait-il imaginer qu'une offre de Cloud ayant été certifié au travers d'un label considéré comme difficile à obtenir puisse avoir ses sauvegardes à proximité de ses serveurs ? Rien n'est moins sûr.

Mais dans solutions Cloud, il en est de même et cela nécessite de creuser la documentation du Cloud pour se rendre compte que la localisation des sauvegardes à distance des serveurs nécessite des paramétrages spécifiques

Cela pose évidemment la question de la confiance vis à vis des certifications !

En conclusion

Les certifications de sécurité Cloud sont évidemment un bon indicateur de la maturité du Cloud et il est fréquent pour les Cloud publics réputés d'avoir de nombreuses certifications.

Néanmoins, dans le choix d'un provideur Cloud mais surtout le choix de solutions Cloud il est nécessaire de creuser la documentation existante ... ou de se faire accompagner par des experts du domaine.   

 

Écrit par : DERONZIER Eric

UCover by Nuabee, la solution de PRA Cloud innovante

La solution de protection de la totalité de votre infrastructure, avec 3 classes de protection qui vous permettent d'adapter votre solution en fonction de vos besoins.

NUABEE

76 rue Denfert-Rochereau
69004 Lyon
Tel : 04.28.29.79.01

NEWSLETTER

Inscrivez-vous pour ne rater aucune de nos actualités.
Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée !

© 2014–2021 NUABEE. TOUS DROITS RÉSERVÉS.