Cloud de confiance : l’ANSSI sort son référentiel et lance un label avec l’Allemagne

Après plus de deux ans de travail, l'agence de sécurité informatique de l'État a mis en ligne la première partie de son référentiel, qui doit aider à certifier les prestataires cloud de confiance. Au niveau européen, ce programme est fusionné avec son homologue allemand, pour donner naissance au label ESCloud.

En matière de numérique, l'État a souvent deux mots à la bouche : confiance et sécurité. Qu'il s'agisse de développer la blockchain ou de trier les offres cloud, l'objectif affiché semble bien le même, avec des démarches à long terme. Les deux ans qu'a pris l'élaboration du référentiel SecNumCloud, ex-Secure Cloud, en est l'une des preuves. Initié dans le cadre de la Nouvelle France industrielle, il présente aujourd'hui un visage (presque) finalisé.

Hier, l'Agence nationale de sécurité des systèmes d'information (ANSSI), en charge de la cybersécurité de l'État et des opérateurs d'importance vitale (OIV), a enfin présenté la première partie de son travail. Il fixe les exigences de sécurité à remplir pour que des offres d'infrastructure (IaaS), de plateforme (PaaS) ou de logiciel comme service (SaaS) soient considérées de confiance.

Deux niveaux de certification et peu de candidats

Jusqu'ici, l'agence travaillait plutôt au cas par cas avec les acteurs assez importants pour qu'elle s'en occupe. Un travail de fourmi qui « montre ses limites, les offres étant le plus souvent packagées », selon elle. Pour ce référentiel, un appel à candidatures a été lancé en septembre 2014. Aujourd'hui, neuf prestataires ont participé à l'expérimentation, en étant évalués par trois centres d'évaluation entre mars 2015 et novembre 2016.

Ils peuvent choisir deux niveaux d'exigence. « Essentiel », publié hier, concerne le stockage et le traitement de données sur lesquelles un incident aurait des conséquences limitées. « Avancé », qui doit bientôt suivre, correspond aux données dont la compromission peut mettre en danger le client, voire sa pérennité. En étant validé via le référentiel « Avancé », un prestataire sera considéré comme conforme à la Politique de sécurité des systèmes d’information de l’État (PSSIE). Un vrai sésame.

Selon le site de l'ANSSI, trois prestataires sont en cours de qualification. Orange Cloud for Business a opté pour le niveau « Essentiel », quand Oodrive et Vendome Solutions veulent être validés comme acteurs de confiance « avancée ». Comme l'a affirmé Guillaume Poupard, les géants américains du numérique sont les bienvenus, même s'ils devront s'adapter, notamment en hébergeant les données dans l'Union européenne.

Des exigences nombreuses pour les prestataires

Pour être validé par l'ANSSI, un fournisseur de service cloud doit avoir une politique stricte à tous les échelons de l'entreprise. Les dizaines de points listés dans le référentiel ressemblent à une revue complète de l'organisation. Comme l'indique l'agence, cela concerne à la fois « le contrôle d’accès et la gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information ».

Des conditions d'embauche à l'organisation de la sécurité, en passant par la mise en place concrète du chiffrement et la continuité d'activité en cas d'incident, rien ne semble laissé au hasard. L'application de ces exigences et recommandations très précises peuvent, bien entendu, être vérifiée par le client ou l'ANSSI.

Au-delà de fournir des points de référence pour tous, ce document doit surtout aider les administrations et grandes entreprises dans leur choix d'un prestataire cloud. Le manque de critères communs en termes de sécurité a été perçu jusqu'ici comme l'une des raisons de la frilosité de l'administration à externaliser la gestion de ses données. Cela alors que l'État lui-même commence à lancer le mouvement.

Par exemple, dans une note d'information datée de juin, Bercy demandait aux administrations et établissements publics qui veulent du « cloud » de passer par des acteurs souverains, validés par le label Secure Cloud... qui n'était pas encore publié à l'époque. Près de six mois plus tard, personne ne semble avoir obtenu de certification définitive.

Lancement du label franco-allemand ESCloud

Aujourd'hui, au lendemain de la naissance de SecNumCloud, l'ANSSI a inauguré un nouveau label avec son homologue allemand, le Bundesamt für Sicherheit in der Informationstechnikle (BSI), qui propose lui son catalogue C5. Les deux agences de sécurité informatique ont lancé conjointement le label européen ESCloud, fondé sur les deux programmes nationaux.

Ils ont sélectionné 15 règles « techniques et organisationnelles » communes, qui doivent attester du sérieux de la démarche des États en matière de cybersécurité, de la rigueur des prestataires sélectionnés et, sans surprise, du traitement et stockage des données dans l'Union européenne.

Selon l'ANSSI, il s'agit du fruit d'une collaboration de longue date entre les deux organisations. « Le label franco-allemand de cloud computing sécurisé ESCloud est un très bon exemple de cette coopération, car il associe des initiatives nationales et améliore ainsi la cybersécurité en Europe » affirme Guillaume Poupard, dans le communiqué de l'agence française.

Les résultats concrets de l'ensemble de ces démarches devraient apparaître dans les prochains mois, alors que les labels publics et privés semblent se multiplier. Les retards de Secure Cloud de l'ANSSI ont, par exemple, laissé le champ libre au label France Cybersecurity, piloté par des organisations privées. S'il s'inscrit dans un plan défini par l'agence nationale, et a débuté avec des sociétés sélectionnées par celle-ci, le label n'en reste pas moins une rustine du secteur pour apposer une marque de confiance sur des acteurs qui attendent encore aujourd'hui une certification de l'État.