Cloud Public : Comment préserver la souveraineté de nos SI ?

 

La souveraineté des SI (services d’information ou services informatiques) est une problématique très partagée par les entreprises surtout lorsqu’elles adoptent des méthodologies portées sur le cloud. Quels sont les leviers concrets dont disposent les RSSI (Responsable de la Sécurité des Systèmes d’Information) pour la préserver ?

Qu’est-ce que la souveraineté du SI ?

 

On peut définir la souveraineté du SI par la capacité à conserver la liberté de choix sur le long terme. Une fois que des données et des savoir-faire ont été mis dans le cloud, il faut être en mesure de réorienter son choix à moyen terme. Il faut aussi être capable de faire évoluer la manière dont sont stockées les données et opèrés les traitements.

Qu’est-ce que le cloud public ?

 

C’est le marché qui définit par lui-même ce qu’est le cloud public. Il existe des systèmes de sous-traitance s’accompagnant de contrats en bonne et due forme, mais il ne s’agit pas du cloud public. Aujourd’hui, celui-ci se caractérise par le fait que les clients n’ont pas la main sur les dispositions contractuelles. Ils sont soumis à des conditions d’utilisation et ne sont plus commanditaires.

Dire « cloud public » ne revient pas à dire « non sécurisé » ou « service dégradé ». Il s’agit d’un service commun, accessible à tous et pour lequel le cycle de vie des informations n’est pas forcément maîtrisable par les utilisateurs finaux.

Comment choisir les éléments placés dans le cloud ou en interne ?

 

L’analyse des risques est fondamentale par rapport à un contexte propre. Il existe de la donnée qui peut paraître « inodore » et « incolore » pour le commun, mais qui peut s’avérer très précieuse pour des concurrents.

Par exemple, dans le secteur de la distribution, il n’est pas possible de faire autrement que de positionner aussi bien les données structurées (issues de logiciels de gestion) que les traitements dans le cloud, ou bien certaines données non structurées (issues de la bureautique, des messageries vocales ou numériques). Il convient donc d’effectuer une analyse de risques pour savoir si ces données ne touchent pas le cœur du métier.

En d’autres termes, l’intelligence économique doit être prise en compte sur les données non structurées correspondant aux données cœur de métier.

La stratégie de cloud de l’État a été annoncée en juillet 2018 et peut être représentée par trois cercles de confiance concentriques :

  • Un cercle extérieur proche du cloud public sans données sensibles.
  • Un deuxième cercle sur lequel la DINSIC (Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’Etat) travaille en produisant un cahier des charges pour que cela corresponde aux besoins de l’administration avec une forte composante de sous-traitance. Ceci afin de s’appuyer sur des acteurs dont c’est le métier.
  • Un cercle interne axé sur du privé et du régalien.

Par ailleurs, la norme ISO 27017 donne une liste de critères de sécurité à appliquer pour les fournisseurs de cloud, sous deux optiques. D’une part, celle des fournisseurs de cloud et d’autre part, celle des clients.

Zoom sur l’appréciation des risques

 

L’appréciation des risques peut recouvrir plusieurs formes, du simple bon sens formalisé plus ou moins par la méthode EBIOS, en passant par la production de documents de politique à mettre en œuvre.

Le risque se situe dans l’espace, avec une typologie de la donnée ou du traitement, mais également dans le temps. En effet, la donnée n’a pas la même valeur suivant son cycle de vie. À titre d’exemple, dans la distribution, les données sensibles peuvent être les conditions liées à la négociation avec les fournisseurs durant les premiers mois de partenariat. Au-delà, elles n’ont plus de valeur et peuvent être placées dans le cloud.

Lorsque l’on décide de conserver certaines données et traitements, on peut s’exposer à une obligation de résultat par rapport à la disponibilité de la donnée ou au résultat du traitement. Sur l’ensemble des maillons de la chaîne, il faut les inclure dans l’analyse de risque, car il est dangereux de conserver en interne l’ensemble de ces éléments.

Cela stimule les équipes et les invite à se concentrer sur l’essentiel. L’avantage d’aller dans le cloud réside également dans le choix de technologies. Par ailleurs, en utilisant le cloud, il n’est pas nécessaire de se préoccuper de la RSSI interne du fournisseur. On est alors client et on consomme un service.

Compétences et sécurité

 

Pour maintenir une équipe compétente sur les différentes technologies, la passion du métier est a priori essentielle. Il importe par ailleurs de ne pas déresponsabiliser toute l’équipe par rapport au cloud. Préserver la souveraineté du SI repose sur trois critères :

  • L’auditabilité du fournisseur de ressources
  • L’expertise et la compétence permettant de vérifier que le référentiel d’audit correspond aux besoins de l’entreprise.
  • Le libre-choix à travers l’assurance de réversibilité du fournisseur qui doit pouvoir être remplacé par un autre en cas de problème.

Tous les mois, des clients de cloud se font pirater et subissent des fuites de données relativement graves. Mais presque toujours, cela est dû au fait qu’ils n’ont pas mis en œuvre les fonctionnalités de sécurité proposées par les fournisseurs. Aller vers le cloud public ne dispense pas de fournir un effort important d’appréciation des risques et de mise en place de mesures de sécurité.

Si le cloud public ne répond pas aux critères de souveraineté d’aujourd’hui, c’est parce que les clients ne contraignent pas les grands fournisseurs mondiaux à se plier à leurs exigences. Mais avant même de se poser la question de la souveraineté des SI, il importe de détecter les nuisances et d’améliorer la capacité des entreprises à contrer les attaques. Des défaillances et des menaces peuvent provenir des fournisseurs, il faut donc s’en protéger.

En conclusion, il faut choisir ce qui peut être mis dans le cloud et ce qui ne peut pas l’être. Cela nécessite une appréciation des risques dépendant de chaque activité. Par ailleurs, il est impératif de mettre en œuvre les mesures de sécurité proposées par les fournisseurs.

Intervenants : Cyrille ELSEN, DSI et Raphaël MARICHEZ, DINSIC

VOIR LES AUTRES CONFERENCES