Fabien Dachicourt
RSSI de Coreye
Le marché du cloud computing ne connaît pas la crise, et devrait représenter selon le cabinet Gartner l’essentiel des investissements informatiques dans le monde d’ici 2016. Pourtant, ce n’est un secret pour personne, beaucoup d’entreprises, même de grande taille, hésitent encore à basculer massivement dans le cloud. Pour expliquer ces hésitations, le fait que la sécurité figure en tête des préoccupations n’est pas non plus une surprise. D’après une étude mondiale menée par BT en 2014, la sécurité est la préoccupation principale des grandes organisations qui utilisent des services cloud. Près de la moitié d’entre elles admettent être très inquiets ou extrêmement inquiets des implications de sécurité entourant le cloud.
Le problème ne tient pas tant à la sécurité du cloud qu’à ce qu’en savent les utilisateurs. Ceux-ci doivent avoir l’assurance que leur fournisseur de cloud est digne de confiance, et a mis en place toutes les mesures nécessaires pour garantir la sécurité de leurs données et de leurs applications. Pour obtenir cette confiance, rien de mieux que des normes et des standards de sécurité qui s’imposent à tout le monde.
Une normalisation incomplète et confuse
Or dans ce domaine, la situation actuelle n’est pas d’une clarté limpide. Plutôt qu’une seule norme reconnue par tous, les entreprises en ont toute une série à leur disposition. Entre les normes ISO/IEC, le référentiel de l’ANSSI, le Label Cloud de France IT, le référentiel Cloud Confidence et le nouveau label « européen » Secure Cloud récemment lancé, sans parler des diverses normes américaines, difficile de s’y retrouver !
Le fait que des normes apparaissent est certes une bonne nouvelle, car cela témoigne de la volonté de la part de l’industrie de s’entendre sur des règles de sécurité communes. L’administration française joue d’ailleurs un rôle actif dans ce domaine. Mais cette normalisation reste incomplète et surtout confuse.
Incomplète car les normes ISO/IEC ne couvrent pas tous les cas de figure. Certes, après la norme ISO 27001, qui couvre pour tout type d’organisme le système de management de la sécurité et de l’information, l’ISO a publié en 2014 la norme 27018, qui concerne uniquement la protection des données à caractère personnel dans le cloud. La norme 27017, qui délivrera un ensemble de bonnes pratiques pour garantir la sécurité des infrastructures cloud n’est, elle, pas encore finalisée, et aucune date n’est encore fixée pour sa publication.
De même, le référentiel de sécurité pour les offres de cloud computing de l’ANSSI, qui s’imposera certainement aux entreprises publiques et aux opérateurs d’importance vitale (OIV) en France, ne sera pas finalisé avant fin 2015 au plus tôt.
Confuse, car aucune norme ou aucun label existant à ce jour ne s’impose réellement par rapport aux autres, faute d’avoir une vertu universelle. Les normes internationales ISO, on l’a vu, sont encore incomplètes. Les labels français quant à eux, manquent de clarté sur les critères qu’ils respectent dans le domaine de la sécurité. Ils s’adaptent bien à certaines catégories d’utilisateurs, mais ne couvrent pas tout le spectre des besoins.
Le fait est que tous les services cloud ne sont pas identiques, loin s’en faut. Il en existe une grande variété, chacune d’entre elles ayant une couverture des besoins de sécurités différentes. En conséquence, beaucoup d’entreprises n’ont pas la garantie qu’un label particulier satisfera en l’état à l’ensemble de leurs exigences en matière de sécurité, ce qui constitue un puissant frein à son adoption.
Seuls 5% des services cloud en Europe sont certifiés ISO 27001
Cette situation confuse est également largement dommageable pour les fournisseurs de services cloud. Car la certification ou la mise en conformité avec une norme de sécurité suppose un véritable investissement dans la quasi-totalité des cas. Dans ces conditions, il est difficile au fournisseur d’en choisir plus d’une voire deux. Dès lors, laquelle ou lesquelles choisir en ayant la certitude que son investissement ne sera pas perdu sur le long terme ?
Pour beaucoup d’entre eux, il est donc urgent d’attendre d’y voir plus clair. Les faits le prouvent. D’après une récente enquête menée fin 2014 par l’américain SkyHigh Networks, seuls 5% des services cloud proposés en Europe sont certifiés ISO/IEC 27001. En outre, pas plus de 12% utilisent le chiffrement des données stockées et 21% l’authentification multi facteur.
La reconnaissance de la nouvelle norme ISO 27018 est elle aussi plutôt lente, même si Microsoft l’a récemment adoptée. De même, les adhésions au Label Cloud et à Cloud Confidence sont encore en nombre limité.
A terme, le plus probable est qu’une future norme de sécurité européenne, dictée par l’UE, finira par s’imposer à tous. Cette norme devra prendre en compte les normes internationales ISO 27001/27002 et ISO 27018/27017, ainsi que le référentiel ANSSI.
Dans l’immédiat, du strict point de vue de la sécurité des infrastructures cloud, la meilleure stratégie sur le long terme pour les fournisseurs de services cloud semble être de s’en tenir aux normes internationales ISO 27001/27017 et au futur référentiel ANSSI, car ces deux standards ne devraient pas être remis en cause.