Data driven

Sécurité des offres Cloud : les critères à privilégier

4 mai 2018

Grâce à notre expérience, nous avons collecté des éléments qui montrent que les hébergeurs Cloud du marché sont maintenant en capacité de répondre à l’ensemble des exigences de sécurité d’une entreprise et ce, quelle que soit la criticité du métier et des données manipulées.

Dans cet univers serviciel, les directions métier se focalisent principalement sur les services proposés par les hébergeurs tout en occultant leurs capacités à s’adapter aux besoins de sécurité. Cette approche risquée peut provoquer un non alignement avec les exigences de sécurité internes l’entreprise et les normes et réglementations (GDPR, LPM, PCI-DSS, etc.) liées au secteur d’activité. Pour éviter ce piège, le choix doit être complété par une étude de sécurité selon les 3 axes que sont la conformité, le type de déploiement et les services utilisés.

 

 

Les prérequis dans l’adoption d’une solution cloud 

Que l’étude porte sur une infrastructure globale ou une application spécifique, un audit des besoins et des usages est impératif afin de mettre en lumière :

  • Les clients ciblés
  • Les données à manipuler
  • Les exigences de l’entreprise à respecter
  • Les normes et les contraintes légales à appliquer
  • Les règles d’architecture régissant la solution
  • La stratégie Cloud de l’entreprise

 

Axe 1 : vérifier la conformité de l’hébergeur Cloud

Sans réaliser un comparatif qui n’aurait que peu d’intérêt dans cet article, les hébergeurs cloud affichent leur conformité selon deux thématiques (certification et réglementation). L’objectif est de couvrir à la fois leurs besoins et d’afficher à leurs clients un gage de transparence, de sécurité et de qualité. La liste est consultable sur leurs portails[i].

Le premier objectif concerne les normes et les certifications internationales suivantes  :

  • Les normes ISO pour la qualité(ISO9001), la gestion de la sécurité(ISO27001), les contrôles spécifiques au cloud(ISO27017), les protections des données personnelles (27018) ;
  • La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS)
  • Les service officiels de contrôle et de certification (SOC) pour les notions de rapport de contrôle d’audit (SOC1) & généraux (SOC3) et de sécurité (SOC2) ;
  • Les certifications de la Cloud Security Alliance (CSA) pour les niveaux 1 et 2. Le niveau 3 n’est pas encore défini par le CSA ;
  • Les certification du “Health Information Trust Alliance, or HITRUST pour le secteur médical ;
  • Les bonnes pratiques de gestion des datacenters ICREA (International Computer Room Experts Association)

Le NIST « National Institute of Standards and Technology » a publié un framework visant à améliorer la cybersécurité des infrastructures critiques, nommé « Cybersecurity Framework ». Les grands hébergeurs Cloud tels que MicrosoftAzure, Amazon Web Services (AWS), Google Cloud Plateforme et OVH disposent toutes des normes ISO 27001, 27007, SOC1 & 2 type 2 et PCI-DSS de niveau 1. Les rapports sont accessibles sur demande.

De plus, un grand nombre d’hébergeurs affichent les mêmes certifications, mais le périmètre couvert n’est pas forcément le même. Il est donc important de vérifier quel service (IaaS,PaaS, SaaS) répond à la norme qui vous intéresse.

Par exemple, Amazon Elasticache est certifié SOC1,2,3 mais pas PCI-DSS.

Le second objectif concerne les réglementations, les lois ou les référentiels de chaque (groupe de) pays à appliquer afin de manipuler des données spécifiques d’un pays. Il s’agit de conformité régionale (un pays correspondant à une zone dans le contexte du Cloud). Les mêmes thématiques sont adressées mais avec des normes spécifiques tels que :

  • Les préconisations de sécurité émises par les agences nationales (ENS pour l’Espagne, C5 pour l’Allemagne, ANSSI pour le France,) ;
  • Les lois réglementaires en vigueur selon secteur d’activité (HIPAA pour les données de santé soumis à la législation américaine) ;
  • La réglementation des données personnelles (GDRP pour l’Europe) ;
  • Les codes de conduite (CISPE).

Quelle place pour la France et l’Europe ?

Fin 2016, l’ANSSI publiait le référentiel SecNumCloud Essentiel[ii] en remplacement de SecureCloud, à l’instar du « C5 » pour l’Allemagne et du « Cyber Essential Plus » du Royaume Unis. Une version renforcée est en cours d’édition pour remplacer le référentiel Secure Cloud plus.

Pour le moment, ce référentiel destiné aux prestataires du cloud n’est pas affichée chez les grands leaders du marché du cloud (AWS et Azure). La liste des candidatures en cours est accessible sur le site de l’ANSSI[iii].

Pour aller plus loin, l’Allemagne et la France se sont concertés pour afficher un label commun au niveau Européen nommé SecureCloud[iv]. Ainsi, l’obtention d’une certification nationale permet l’obtention implicite du label Européen.

Même si les certifications sont un gage de transparence et de qualité des hébergeurs, elles ne remplacent pas un plan d’assurance qualité ainsi que la possibilité d’auditer l’hébergeur.

 

 

 

Axe 2 : choisir le modèle de déploiement cloud

Le cloud se décline selon quatre modèles de déploiement, à savoir le Cloud public, le cloud privatif, le cloud communautaire et le Cloud privé. Ce dernier est écarté de notre sujet car il ne fait pas appel à un hébergeur. Le principal levier sécurité pour son choix est la criticité du métier, sa disponibilité à travers le monde et la confidentialité du service.

Le cloud public consiste à partager l’ensemble des ressources physiques avec un cloisonnement des clients. Ce mode est le plus répandu et est le moins couteux. Il permet de jouir de l’ensemble des services proposés par l’hébergeur. Attention néanmoins, car son usage implique des ressources mutualisées ainsi que des flux non maitrisés vers l’extérieur du système que vous construirez, aussi sécurisé soit-il.

Le cloud privatif est géré par un hébergeur public mais ce dernier alloue des ressources dédiées avec une garantie de ressources. Certes plus cher, ce service peut trouver un avantage de sécurité dans le cloisonnement des traitements pour prévenir des failles de type Meltown ou Spectre pour ne citer qu’eux. Ce type de déploiement se cantonne globalement aux services de type IaaS. Pour respecter ce niveau de cloisonnement, il faut alors déployer ses propres services PaaS. OVH excelle sur ce marché mais d’autres hébergeurs sont également performants.

Le Cloud communautaire quant à lui est un cloud privatif ouvert à plusieurs partenaires réalisant la même activité. Il tire son avantage pour des activités fortement réglementées par des normes communes à tous les clients. Cela permet de tirer profit immédiatement d’une infrastructure conforme à votre activité tout en maitrisant les coûts.

Exemple, le cloud communautaire CMED est une solution SaaS qui a vu le jour suite à la normalisation et à l’harmonisation des processus d’autorisation de mise sur le marché de nouveaux médicaments à travers le monde.

 

Axe 3 : Choisir les services Cloud

Le dernier axe de choix concerne les services Cloud que l’organisation souhaite déployer. Pour rappel, 3 types de services existent : le IaaS, le PaaS et le SaaS. Le SaaS fait l’objet d’un précédent article [v] pour son intégration dans le SI. D’un point de vue sécurité, il faut les classer en 2 car l’objectif de l’analyse n’est pas la même.

  • Les services réalisant des fonctionnalités techniques ou fonctionnelles en appui à votre projet sont généralement des services de type PaaS. Sans rentrer dans les détails, il existe les services de l’hébergeur et ceux proposés par les éditeurs depuis la Marketplace. L’étude portera alors sur :
    • La sécurisation des flux avec les autres composants applicatifs (chiffrement, authentification, gestion des clés et des certificats) ;
    • Les options de sécurité disponibles sur le service. Sur ce point, on s’intéressera principalement à la méthode de rétention des traces, aux mécanismes de restauration, de supervision, d’accès IAM, de chiffrement des données, d’accès aux équipes responsables du service, du cloisonnement des données, etc.

Notez que dans le cas où le service est proposé par un éditeur, il est nécessaire d’étendre le Plan d’Assurance Sécurité.

  • Les services permettant de sécuriser et d’intégrer votre solution. Il est bénéfique de les utiliser principalement pour l’usage des services IaaS, que ce soit pour améliorer ou étendre votre politique de sécurité. La facturation à l’usage couplé au PaaS vous permettra de minimiser les coûts sur de faibles volumétries. Les hébergeurs Cloud disposent maintenant d’un panel de solutions sur les 6 domaines de la sécurité.
Domaine Types de services Exemples
Sécurité réseau Services permettant de sécuriser une infra IaaS tels que les WAF, VPN, Firewall, Virtual Private Cloud, les Vnet ; Azure Network Security Group 

Alibaba Virtual Private Cloud

IBM Cloud Network Security

PCIT & continuité d’activité Déploiement par région et par zone de disponibilité, certaines conformités  

 

Contrôle d’accès Gestion de l’identification, de l’autorisation et de l’habilitation des accès aux services. Solutions de type IAM ou API Gateway. AWS Identity & Access Management,

Google Cloud Identity Aware Proxy

Azure Active Directory

Sécurité applicative Limitation des failles de sécurité et superviser des services et des applications AWS Cloudwatch,

IBM activity Tracker

Sécurité opérationnelle Superviser et réagir aux agressions extérieurs AWS config,

Alibaba anti-Ddos

Alibaba server Guard

Sécurité des données Gestion des clés de chiffrement et des certificats, chiffrement des données IBM Hardware Security module

Azure Key Vault

 

Il est aussi important de s’assurer que les services envisagés sont disponibles dans la région choisie de l’hébergeur. Cela s’avère particulièrement vrai pour les nouvelles régions (Françaises pour AWS et Azure par exemple) ou les éditeurs SaaS.

Pour finir, il faut garder à l’esprit qu’un hébergeur ne fournit pas une disponibilité maximale sur tous ces services et leurs modèles de déploiement peut influer. Néanmoins, la majorité des hébergeurs proposent des SLA oscillant entre 99,5% et 99,9%.

 

Conclusion

Comme démontré tout au long de cet article, le cloud Computing dispose maintenant d’une grande couverture de mise en conformité grâce à la combinaison de ses modes de déploiement et de ses services. Mais il reste à la charge de l’entreprise de s’assurer que toutes les exigences et autres contraintes de conformité sont couvertes dans l’architecture cible car le périmètre de responsabilité varie dépend des services utilisés. Un effort de maitrise de la réglementation de son activité est la clé pour assurer la sécurité des offres Cloud.

 

Références :

 

[i] Liste des mises en conformité de Azure, OVH, AWS, IBM, GCP, Alibaba

[ii] Référentiel d’exigences Secnumcloud

[iii] Liste des partenaires de confiance en cours d’accréditation par l’ANSSI

[iv] Article de l’ANSSI annonçant la collaboration de la BSI et de l’ANSSI pour la création de la norme SecureCloud

[v] Article Weave sur l’intégration d’une solution SaaS dans le SI

 

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus.