Cloud et certifications

Christophe Jolivet, Prosica

Un fournisseur Cloud peut être sélectionné selon plusieurs critères qui dépendent du client et de ses objectifs. La sécurité fait souvent partie des éléments incontournables, surtout si les informations traitées sont sensibles ou si les fonctions attendues du service Cloud sont critiques du point de la disponibilité ou de l’intégrité. Les gages de sécurité que le fournisseur peut apporter à son client sont diverses : reconnaissance du marché, réponse à un questionnaire, autorisation d’audit, moyens financiers mis en oeuvre pour se protéger, compétences internes… La certification est un élément de réponse qui présente des intérêts autant pour le prestataire que pour son client. L’objectif est de renforcer la confiance qu’un client peut avoir vis-à-vis de son fournisseur sans avoir à traiter les mêmes questions sur les mesures de protection à chaque nouvelle relation commerciale.

Ce mécanisme de certification peut être requis par des obligations légales ou réglementaires. Par exemple, en France, la réforme de l’agrément de l’hébergement des données de santé (HDS) impose la mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001. Le référentiel de certification HDS comprend des exigences complémentaires issues des normes ISO 27017 (sécurité de l’information dans le Cloud), ISO 27018 (protection des données à caractère personnel) et ISO 20000 (certification des services informatiques). Autre exemple, le règlement européen pour la protection des données (RGPD) insiste sur l’importance d’initier des chantiers de certifications (voir en particulier les préambules 77, 81, 100, 166, 168, l’article 25 et l’article 42). Le règlement stipule « Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ». Ces certifications incluent la certification de personnes (certification des Délégués à la Protection des Données ou Data Protection Officer par exemple) et des systèmes d’information. On doit donc s’attendre à la généralisation de ces mécanismes.

Actuellement, les fournisseurs Cloud se reposent sur plusieurs types de certifications dont voici quelques exemples.

Le SMSI (système de management de la sécurité de l’information) ISO 27001 est intéressant car il prouve que le fournisseur a défini un cadre pour gérer sa sécurité en rendant incontournables un certain nombre de points comme l’analyse et le traitement des risques, la sélection de mesures de sécurité appropriées au travers la déclaration d’applicabilité ou la formalisation d’un processus de gestion des incidents de sécurité. La certification est obtenue pour 3 ans après un audit d’un organisme accrédité avec un mécanisme de surveillance après 18 mois. La certification IS0 22301 poursuit les mêmes objectifs pour la continuité des activités, fondamentale pour un fournisseur Cloud et ses clients.

La démarche d’attestation ISAE 3402 est une référence reconnue pour évaluer la qualité des contrôles et des procédures, dont les aspects de sécurité, d’une activité externalisée. De nombreux hébergeurs et fournisseurs Cloud disposent de cette attestation et des rapports SOC 1, 2 et 3 associés. A noter que l’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité. Cette association a mis au point un nouveau référentiel « SOC for Cybersecurity ». Ce réferentiel définit 19 critères pour décrire et évaluer un programme de gestion des risques qui présente un intérêt certain dans le cadre de la sécurisation des offres Cloud.
Des démarches spécifiques au Cloud ont été initiées. STARAUDIT soutenu par EUROCLOUD présente une approche sous la forme de niveaux de protections, de 3 à 5 étoiles pour des offres de services IaaS, PaaS ou SaaS. CSA STAR (soutenu par la Cloud Security Alliance, d’origine américaine) présente un mode de certification à trois niveaux (autoévaluation, certification indépendante ainsi qu’un troisième niveau de contrôle continu prévu par le référentiel mais pas encore en place). De nombreuses offres Cloud sont déjà certifiées.

En France, le référentiel SecNumCloud permet de détenir un visa sécurité de l’ANSSI (agence nationale de la sécurité des systèmes d’information) pour un service Cloud. Deux niveaux « essentiel » et « avancé » sont définis en fonction du niveau de sécurité attendu par le client. Des discussions sont en cours pour généraliser la démarche à plusieurs pays européens, à commencer par l’Allemagne.

Sans être la réponse ultime, ces certifications participent à renforcer la confiance d’un client envers son client qui reste maitre d’analyser ses risques et de prendre la décision d’utiliser tel ou tel service, avec telles ou telles protections complémentaires. Il est important de vérifier que le périmètre de certification correspond au service Cloud que l’on utilise. La connaissance du référentiel de certification est intéressante pour le client. Il peut l’utiliser pour approfondir des éléments de son analyse de risque, en particulier lors des discussions qui s’engagent avec ses fournisseurs avant le choix d’une offre.

Christophe Jolivet est membre de la Commission Sécurité d’EuroCloud France.

Haut