Êtes-vous réellement sûr de la sécurité de vos services Cloud

Les services Cloud, décomposés suivant les modèles IaaS, PaaS et SaaS (Infrastructure, Platform and Software as a service) sont de plus en plus utilisés. L’informatique traditionnelle pour laquelle l’entreprise était propriétaire de toutes ses infrastructures et applications n’existe pratiquement plus. Elle a été remplacée par des environnements hybrides mêlant « core IT », Private IaaS, Public PaaS et applications SaaS.

Ces environnements se veulent agiles et automatisés afin de s’adapter aux besoins métiers.

 

Quelle sécurité dans le Cloud ?

La sécurité des données fait partie des points fondamentaux de sélection d’une offre. Comme il est difficile de répondre à la question « le Cloud est-il plus ou moins cher qu’une solution interne», il est difficile d’apporter une réponse péremptoire à la question « Les données sont-elles mieux protégées dans le Cloud qu’en interne ». La réponse dans les deux cas est « Cela dépend ! ». Les facteurs sont multiples : exigences légales, sensibilité des données, capacités de sécurisation interne… Le professionnel de la sécurité doit être capable d’analyser les risques et d’accompagner les décideurs dans leurs choix.

 

La sécurité dans les contrats Cloud et les mécanismes de Due Diligence

On entend trop souvent l’argument selon lequel le client n’a aucun pouvoir sur le contrat Cloud. D’une part il existe de nombreux exemples pour lesquels le fournisseur adapte les clauses contractuelles aux spécificités de son client. Par ailleurs, même si le contrat standard est utilisé, une phase préalable de « due diligence » est impérative. Cette phase doit comprendre une analyse des risques pour identifier les données concernées par le service Cloud, les interfaces avec les applications internes, les exigences légales et métiers. Les mesures de sécurité chez le fournisseur et le client pour traiter ces risques ainsi que la répartition des responsabilités doivent être clairement établies. Le résultat de cette « due diligence » doit être communiqué et accepté par un représentant métier du client.

 

La mesure du niveau de sécurité chez les fournisseurs Cloud

La preuve du niveau de sécurité d’un système est difficile à établir et à maintenir. Les critères communs (« Common Criteria » - ISO 15408) se concentrent sur l’homologation d’un système d’un logiciel ou d’un matériel. Il est intéressant de prendre en compte les certifications du fournisseur pour justifier du niveau de ses systèmes de management (ISO 27001 pour la sécurité, ISO 22301 pour la continuité des activités, ISO 20000 pour les services informatiques et ISO 9001 pour la qualité). L’ISAE 3402 est une norme permettant aux utilisateurs de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne, comprenant des aspects liés à la sécurité. Enfin de nouvelles certifications orientées sur les environnements Cloud apparaissent comme STAR de la Cloud Security Alliance, ISO 27017 ou encore des initiatives nationales comme « SecNumCloud » portée par l’Agence Nationale de la Sécurité des Systèmes d’information en France.

 

Les relations entre le fournisseur et son client

Quelles que soient les certifications dont disposent le fournisseur et la qualité du contrat et des clauses de sécurité, le client n’est pas l’abri d’une faille de sécurité touchant son prestataire Cloud ou les interfaces sous sa responsabilité. Si plusieurs référentiels existent pour aider à la standardisation des mesures (ISO 270002, NIST 800-53, Cybersecurity Framework, Cloud Control Matrix de la Cloud Security Alliance), le suivi opérationnel de la sécurité entre le client et son fournisseur est fondamental. Le processus de réaction aux incidents de sécurité (voir les bonnes pratiques de l’ISO 27035) et les conditions d’audibilité du fournisseur font partie des éléments clés.

Enfin, plusieurs initiatives européennes démontrent la volonté des Etats de renforcer le niveau de la sécurité des systèmes (par exemple Directive NIS, Règlement Général de Protection des Données Personnelles - GDPR, eIDAS). Cela va se traduire par l’apparition de nouvelles certifications (en particulier sur la sécurité des traitements des données à caractère personnel) et des exigences de conformité légales renforcées autant pour les clients et leurs fournisseurs. Si le client reste responsable de ses données, le fournisseur Cloud va devoir de plus en plus être en capacité de démontrer son niveau réel de sécurité.

 

La sécurité du Cloud computing représente pour vous un enjeu important

Pour intégrer les aspects de sécurité à votre service de Cloud computing, les équipes de formateurs de PROSICA (experts reconnus, expérimentés et passionnés) interviennent régulièrement en conseil auprès des entreprises. Ils vous proposent une préparation aux certifications CCSK et CCSP sur 5 jours au cours de laquelle vous pourrez aborder les points suivants :

• Architectures et exigences de sécurité des services CLOUD.
• Sécurité des données.
• Sécurité des plateformes et des infrastructures.
• Sécurité des applications.
• Administration et exploitation.
• Aspects légaux et réglementaires, conformité.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :