Héberger un SI sensible dans un cloud privé : Recommandations de l’ANSSI

22 juillet 2024 / Nathan

Par : Nathan

Vous vous posez des questions sur la migration de votre hébergement et de vos données sensibles vers un cloud privé ? Voici ce qu'il faut retenir avec un témoignage de notre expert et un résumé de ce que recommande l'ANSSI sur la migration cloud

Héberger Données Sensibles SI Cloud Privé Recommandations ANSSI

SOMMAIRE :

Témoignage de notre expert en hébergement sur la migration cloud

Témoignage

Pierre FERARD

Responsable Pôle Hosting chez Blue

Quel est l'impact d’une mauvaise migration vers un hébergement cloud ?

Sans aucun doute, une mauvaise migration vers le cloud peut sérieusement perturber le fonctionnement de votre entreprise. Imaginez des équipes paralysées, des performances dégradées et, inévitablement, une perte de chiffre d'affaires. La productivité chute, et avec elle, la satisfaction de vos clients. Le business en souffre directement et qu'importe le type de structures : Grands groupes, PME, ETI...

À l'inverse, une migration bien menée transforme radicalement la donne. Pour les DSI, c'est l'occasion de se libérer des tâches chronophages de gestion des infrastructures. Vous pouvez alors vous concentrer sur vos vrais métiers et applications critiques. Une bonne migration, c’est la garantie d’une continuité des services à 100%, éliminant les interruptions et les ralentissements. C’est l’occasion de voir ses taux de disponibilité s’envoler et de faire gagner de la fluidité à vos processus internes.

En répartissant les responsabilités de la migration et en diluant les risques d'erreur, vous obtenez une équipe plus sereine et productive. Car le pire est de faire reposer toutes les responsabilités de la migration et gestion de votre SI sur une personne. La charge à porter est souvent trop lourde et présente un risque fort.

Quelles sont les clés pour une migration réussie vers un cloud privé ?

Avant tout, pour réussir une migration vers un cloud privé, il faut bien connaître son environnement et savoir identifier les zones de risque. Une parfaite compréhension de votre système d'information (SI) est absolument nécessaire. Cela vous permet de prévoir les défis potentiels et surtout les mauvaises surprises (qui arrivent plus souvent qu’on ne le pense).

Concernant le choix du cloud provider chargé de votre migration, il vous faut obtenir des retours d'expérience pertinents. Faites en sorte que celui-ci ait des exemples concrets de migrations réussies avec d'autres entreprises similaires à la vôtre (surtout sur le système d’information). Tout DSI doit se baser sur des expériences concluantes pour partir sur des bases fiables.

En plus, c’est généralement la souplesse et l'agilité qui seront des éléments essentiels. Votre solution cloud privé ou hybride doit être capable de s'adapter rapidement aux besoins changeants de votre entreprise, en plus de véritablement présenter une expertise.

Que faut-il prendre en compte lorsqu’on héberge des données sensibles dans le cloud ?

Lorsqu’une entreprise souhaite héberger des données sensibles dans un cloud (que ce soit un cloud privé ou un cloud hybride), elle doit absolument prendre en compte les certifications reconnues. Deux sont à bien prendre en compte : la certification HDS et la certification ISO 27001. Ce sont des gages de qualité, car elles nécessitent une amélioration continue et des audits réguliers.

Encore une fois, l’expérience et les retours d’autres DSI sont tout aussi importants. Connaître les réussites d’autres entreprises avec le même fournisseur de cloud privé peut offrir une assurance supplémentaire et des insights précieux. N’oubliez pas que la migration est comme un véritable partenariat, il faut absolument une bonne entente entre les deux parties.

D’ailleurs, je conseille d’avoir de la visibilité sur plusieurs informations : l’indépendance du cloud provider, sa souveraineté avec un cloud souverain pour ne dépendre de personne et, je dirai, son faible turnover. Garder les mêmes interlocuteurs tout au long du projet, ce n’est pas juste un luxe, c’est seulement essentiel pour le bon déroulé des opérations et bien suivre votre historique.

Recommandations pour l’hébergement des SI sensibles dans le cloud

Introduction

Depuis, ces dernières années, le cloud computing est devenu essentiel pour la transformation numérique des secteurs public et privé, offrant flexibilité et efficacité.

Cependant, le cloud computing présente des risques de sécurité, particulièrement pour les systèmes d’information sensibles. Les cyberattaques ciblent de plus en plus de fournisseurs de solutions cloud et des lois extraterritoriales obligeant certains hébergeurs à divulguer les données de leurs clients.

Aujourd’hui, les organisations doivent donner une très grande importance à la sélection d’offres cloud sécurisées et conformes aux exigences légales. L’objectif reste d’optimiser ces risques et pouvoir profiter pleinement des avantages d'un cloud sécurisé.

L’ANSSI déploie des aides à la décision

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a récemment élaboré des recommandations spécifiques pour guider tous types d’entités dans le choix des offres cloud en fonction de 3 critères :

Le système d'information,
La sensibilité des données,
Le niveau de menace.

Ces recommandations visent à apporter une aide sur l'hébergement cloud des systèmes d'information de diffusion restreinte, des SI sensibles des opérateurs d'importance vitale, des opérateurs de services essentiels, et des systèmes d'information d'importance vitale (SIIV).

Points importants à prendre en compte :

Les recommandations ne concernent pas les systèmes d'information classifiés,
Les systèmes d'information ne sont pas nécessairement adaptés à une solution cloud.

Globalement, ces recommandations s'alignent avec la doctrine "cloud au centre" de l'État et piloté par la direction interministérielle du numérique (DINUM).

Prendre des précautions pour mieux migrer les données

Étude d’impact et analyse de risques pour la migration vers le cloud

La décision de migrer des systèmes d’information vers des solutions cloud privées doit être prise par le plus haut niveau de responsabilité de l’entité concernée, selon l'ANSSI. Globalement, il s’agit de la direction sous couvert de la validation de la DSI (Direction des Systèmes d’Information).

Avant de faire vos choix, incluez dans votre décision une étude d’impact métier et juridique, accompagnée d’une analyse de risques.

Ensuite, votre décision devra inclure :

Le niveau maximal de menace auquel vos systèmes d’information sont exposés.
Les risques spécifiques liés à votre hébergement cloud, comme l’exposition à internet et la mutualisation des infrastructures.
La sensibilité des traitements et des données, en termes de confidentialité, d’intégrité et de disponibilité.
Les risques juridiques liés aux lois extraterritoriales, qui peuvent obliger certains fournisseurs de cloud à transférer les données de leurs clients à leurs autorités nationales.

Rigoureuse et précise, cette organisation permettra de vous garantir une migration vers le cloud sécurisé et conforme aux exigences légales et opérationnelles. A ce sujet, le cloud souverain de Blue pourrait vous intéresser.

Sélection des mécanismes de sécurisation du cloud privé : recommandations de l'ANSSI

Avant tout et en toute logique, l'ANSSI conseille aux entités de choisir des services et licences adaptés pour garantir la sécurité de leurs systèmes d'information hébergés dans un cloud privé.

Ensuite chaque client doit disposer d’options de sécurité sécurisées. Les options doivent comprendre des services de filtrage et de contrôle d’accès, afin de restreindre l'accès aux interfaces d’administration et de supervision aux seules personnes autorisées.

De plus, l'ANSSI insiste sur l'importance d'inclure une clause de réversibilité dans les contrats de cloud. Cette clause permet de faciliter la migration d'une technologie cloud vers une autre. L’objectif est de réduire la dépendance à un seul fournisseur et de s’adapter aux évolutions fonctionnelles et de sécurité. En prenant ces mesures, les entités peuvent mieux protéger leurs données sensibles et garantir une flexibilité accrue dans la gestion de leurs infrastructures cloud.

Intéressé(e) sur le sujet de la sécurisation des accès ?

Découvrez-en plus sur la MFA (double authentification) et le bastion informatique.

Formation des équipes : une précaution essentielle pour la migration vers le cloud

Un des autres points clés est la formation. Si vos équipes sont constituées d’équipes techniques et chef de projets spécialisés sur des sujets de cloud et de cybersécurité, ces derniers doivent être former à l'utilisation des technologies cloud lors d'une migration.

La formation garantit la qualité de l’étude de migration, ainsi que la maîtrise des coûts et des délais.

Avec des équipes formées, vous pourrez et toute organisation pourra aborder de manière exhaustive tous les aspects techniques et organisationnels de la migration vers un cloud privé ou cloud hybride. La formation assure une transition fluide et sécurisée.

L’application des recommandations par l’ANSSI

Outils et terminologie pour l'application des recommandations de l'ANSSI sur l'hébergement cloud

Considérez que les recommandations de l'ANSSI pour l'hébergement cloud s'articulent autour de trois éléments essentiels :

Typologie des offres cloud : Différents types d'offres cloud sont disponibles et leur sélection doit correspondre aux besoins spécifiques de votre système d’information.
État de la menace : L'évaluation des menaces potentielles est décisive pour déterminer le niveau de sécurité nécessaire.
Nature des systèmes d’information : Selon la sensibilité des vos données et des traitements, les exigences de sécurité varient.

C’est la combinaison de ces éléments qui vous permettra de choisir l'offre cloud privé ou hybride la mieux adaptée pour la sauvegarde externalisée de votre système d’information.

Typologie des offres cloud selon l'ANSSI

L'ANSSI base ses recommandations sur deux principales catégories d'offres cloud : commerciales et non commerciales, chacune répondant à des besoins spécifiques. Sachez également que les types d'offres cloud privé, public ou hybride se distinguent avec les typologies IaaS, PaaS, CaaS et SaaS.

Offres cloud commerciales :

Publique : Cloud mutualisé accessible à l'ensemble des clients.
Privée : Cloud dont les ressources sont exclusivement dédiées à une seule entité.
Communautaire : Cloud dédié à un groupe d'entités partageant des intérêts communs, qu'elles soient étatiques ou privées.

Offres cloud non commerciales :

Interne : Cloud déployé en interne pour les besoins propres d'une entité, avec exploitation et supervision pouvant être assurées en interne ou par un sous-traitant.
Communautaire : Cloud créé par des entités d'un même secteur avec leurs propres ressources.

En prenant en compte, cette distinction d’offres cloud, chaque entité sera plus facilement en mesure de choisir l'offre cloud la plus adaptée à ses besoins spécifiques et à son niveau de sécurité du système d'information requis.

Typologie des menaces selon l'ANSSI pour la migration cloud

La typologie des menaces en cybersécurité comprend trois catégories principales. L’ANSSI insiste sur l’évaluation nécessaire de l’état de la menace lors de la migration vers un cloud privé, cloud hybride ou cloud souverain. Pour comprendre l’état de la menace, prenez en compte ces typologies :

Menace stratégique :

Type : Attaques persistantes, ciblées et menées par des États. Utilisation de moyens techniques et organisationnels importants.
Application : Espionnage, pré-positionnement, déstabilisation (sabotage informatique, divulgation de données).
Particularité : Lois extraterritoriales facilitant l'accès aux données sans attaque directe.

Menace systémique :

Type : Attaques opportunistes à des fins lucratives (ransomwares, fraudes).
Application : Prolifération d'outils et services offensifs, utilisés pour l'espionnage industriel ou l'intelligence économique.
Particularité : Menaces touchant une large proportion d'entités.

Menace hacktiviste ou isolée :

Type : Attaques menées par des individus ou groupes à des fins de déstabilisation (vengeance, idéologie).
Application : Utilisation de moyens variés : DDoS, fuites de données.
Particularité : Comprend des individus avec accès privilégié ou utilisant des outils peu sophistiqués.

Nature des systèmes d’information selon l'ANSSI pour l’hébergement cloud

Votre système d’information fait partie des suivants ? :

Systèmes d’information sensibles de l’État,
Opérateurs de services essentiels (OSE),
Réseaux de diffusion restreinte.

Si oui, vous faites partie des cibles privilégiées pour les attaques à des fins d’espionnage ou lucratives. En conséquence, l’ANSSI souligne l’importance de connaitre la nature de votre système d’information et des données qu’il contient.

Typologie des systèmes d’information

Systèmes d’information de niveau diffusion restreinte (DR) : Traitent des données à diffusion restreinte.
Systèmes d’information sensibles relevant de la doctrine cloud au centre de l’État : Traitent des données sensibles selon la circulaire "cloud au centre".
Systèmes d’information d’importance vitale (SIIV) : Leur atteinte pourrait diminuer significativement le potentiel de guerre ou économique, la sécurité nationale, ou présenter un danger grave pour la population.

Ces catégories toutes les organisations à déterminer les exigences de sécurité spécifiques nécessaires pour la migration vers le cloud privé, en tenant compte de la sensibilité et de l'importance des données traitées.

SecNumCloud : un rappel sur le référentiel et la qualification

Si vous êtes processionnel de l’informatique, vous le connaissez sûrement : le référentiel SecNumCloud.

Pour rappel, le référentiel établit des règles de sécurité et des bonnes pratiques d’hygiène informatique pour garantir un haut niveau d'exigence technique, opérationnel et juridique. La qualification SecNumCloud, basée sur ce référentiel, est attribuée à des offres cloud (cloud privée, cloud hybride...) reconnues pour leur fiabilité.

Cette qualification assure que les offreurs cloud respectent des pratiques de sécurité rigoureuses, mais elle ne garantit pas la sécurité des services numériques des clients utilisant ces offres.

Le "Visa de sécurité" SecNumCloud permet d'identifier les offres cloud qui protègent les données sensibles contre les menaces cybercriminelles et les lois extraterritoriales. En plus, sachez que cette qualification facilite les processus d'homologation des services numériques des entités clientes, en offrant des garanties sur les infrastructures utilisées.

Synthèse des recommandations de l’ANSSI pour l'hébergement dans le cloud

En combinant la sensibilité des données et le niveau de menace associé, l’ANSSI propose des recommandations pour l’hébergement dans un cloud privé ou hybride des systèmes d’information sensibles.

Systèmes d’information de niveau diffusion restreinte (DR)

L’ANSSI recommande les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, permettant d’éviter les risques de latéralisation d’attaques. Les offres cloud qualifiées commerciales publiques et communautaires peuvent être envisagées avec prudence.

Si vous envisagez d’utiliser une de ces offres, une analyse de risques doit accompagner toute décision d’externalisation du SI. Pour les informations à accès restreint par nationalité, une offre non commerciale peut être préférable.

Systèmes d’information sensibles de l’État

Selon la doctrine "cloud au centre" de l’État, ces SI ne peuvent être hébergés que sur des offres cloud qualifiées SecNumCloud (internes, privées, communautaires ou publiques).

Systèmes d’information d’importance vitale (SIIV)

Du fait de leur sensibilité, les SIIV nécessitent une décision motivée de la direction informatique de l’entité concernée. L’ANSSI privilégie les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, garantissant une infrastructure dédiée.

Sachez autrement que d'autres offres cloud commerciales peuvent être acceptées si elles sont qualifiées SecNumCloud et appuyées par une analyse de risques démontrant la protection adéquate du SIIV et le respect des obligations réglementaires.

Conclusion

Vous l’aurez compris, la migration des systèmes d’information sensibles vers le cloud offre de grandes opportunités, mais nécessite une grande vigilance en matière de sécurité.

Les recommandations de l’ANSSI fournissent un cadre précis et important pour évaluer les risques et choisir les offres cloud privé ou hybride adaptées, tout en tenant compte : des menaces, de la nature des systèmes et des mécanismes de sécurité disponibles.

En adoptant une approche rigoureuse et en formant les équipes, une entreprise, une association ou bien une administration peut bénéficier des avantages du cloud computing tout en minimisant les risques.

D’autre part, le référentiel SecNumCloud, avec ses règles strictes, garantit une protection élevée des données et traitements sensibles, permettant ainsi une transition sécurisée vers un cloud privé ou cloud hybride.

Besoin de migrer votre système d'information vers un cloud privé sécurisé ?

Appliquez les recommandations de l'ANSSI avec les équipes de Blue

CONTACTER LES EXPERTS BLUE

(*)Informations et sources issues de la documentation fournie par l'ANSSI : https://cyber.gouv.fr/publications/recommandations-pour-lhebergement-des-si-sensibles-dans-le-cloud