discuter sécurité avec son fournisseur de Cloud - #OSD13


Voir directement la vidéo sur Dailymotion

Évaluer le niveau de sécurité d’un service reste de la magie noire, une science obscure pour un grand nombre d’entreprises. Oui, les entreprises ne savent pas comment aborder le sujet de la sécurité dans le cadre de leurs projets Cloud. La majorité d’entre-elles sautent à pieds joints dans le Cloud sans réellement en évaluer les conséquences de façon objective.

Cependant, il existe des référentiels et documents sur lesquels s’appuyer pour évaluer le niveau de sécurité d’un fournisseur de services Cloud ; que ce soit en amont lors de la phase de recherche mais aussi dans la phase de contractualisation que de vie du service.

de mauvaises réponses à des questions mal posées

La sécurité du Cloud est une question qui reste ouverte : cela fait maintenant 2 ans que je vois passer les mêmes questions, ressens les mêmes craintes et doutes dans les échanges avec les clients, prospects ou lors des différentes interventions et tables rondes.

Tous attendent des réponses à leurs doutes et craintes quant à la sécurité du Cloud. Mais rares, très rares, sont ceux qui posent les questions de façon adaptée. Il ne faut cependant pas mettre toutes les entreprises dans le même panier et les fournisseurs de services Cloud ont aussi leur part de responsabilité.

le cas des PME

Les PME vont dans le Cloud sans poser explicitement de questions quant à la sécurité des services de Cloud concernés. Cela ne veut pas dire qu’elles ne se préoccupent pas de la sécurité de leurs données. Deux raisons possibles pour expliquer cet état de fait :

  • elles n’ont ni les compétences nécessaires en sécurité pour un tel exercice ni le temps et les ressources pour effectuer les études et poser les questions.
  • elles s’attendent à ce que le fournisseur de services fasse ce qu’il faut pour assurer la sécurité des données que ses clients lui confient.

J’aurais tendance à dire que c’est effectivement au fournisseur de services Cloud de créer et d’entretenir la confiance. Pour ce faire, il devrait être transparent quant à ses pratiques sécurité, être ouvert aux demandes d’audit et avoir un programme de certification sécurité de ses services.

les grandes entreprises ou PME avec des activités sensibles

Pour les grandes entreprises ou les PME ayant des activités relevant de domaines sensibles, le constat que je peux faire est différent : elles posent des questions quant aux services de Cloud qu’elles envisagent d’utiliser.

Là où les choses se compliquent c’est dans la qualité des questions posées. D’un côté, on retrouve des fichiers Excel « bricolés » avec des questions trop générales ou des sujets passés sous silence (ex : aucune question sur la sécurité des accès administrateurs). De l’autre, les questions sont posées dans un mail ou font l’objet d’une réunion téléphonique.

3 documents sur lesquels adosser sa démarche

Il existe 3 documents très intéressants pour aborder de façon plus structurée la sécurité d’un projet Cloud. En fonction du profil de la société, l’usage des documents sera très certainement différent.

Pour une PME, je recommanderais :

  • Une lecture du guide de l’externalisation de l’ANSSI
  • De demander à son fournisseur de lui fournir une Cloud Control Matrix (CCM) ou sa version jumelle sous la forme d’une CAIQ (Consensus Assessments Initiative Questionnaire)

Pour une grande entreprise :

  • De demander à son fournisseur de lui fournir une Cloud Control Matrix (CCM) ou une CAIQ, et de passer en revue l’ensemble des réponses et de les comparer avec sa politique de sécurité
  • D’intégrer le guide ProcureSecure de l’ENISA dans le cadre de sa démarche de contractualisation des services
  • La lecture du guide de l’ANSSI étant aussi un « must-read ». J

et les fournisseurs de services dans tout ça ?

Un fournisseur de services de Cloud devra quant à lui s’appuyer sur ces trois documents (en complément d’autres) pour encadrer ses activités et faire en sorte que le niveau de sécurité des services qu’il propose soit adapté aux attentes de ses clients.

Les plus motivés iront jusqu’à faire certifier la sécurité de leurs services via une ISO27K et suivront de près les travaux de la Cloud Security Alliance et de son groupe de travail autour de la Star Certification.

Jeff

Transparence : Nous avons été forcés de refaire la vidéo tournée lors de l’Orange Security Day du 9 avril car le son était inaudible (bruit de fond trop important).

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens