Michel Juvin, Expert Cybersécurité membre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), intervenait à l’École de Guerre Économique le 20 février dernier à l’occasion d’une conférence portant sur la problématique de la confiance dans le Cloud.
Nous assistons aujourd’hui à une modification de la localisation géographique et logique de stockage du patrimoine informationnel des entreprises. Auparavant, ces dernières organisaient ce stockage sur des machines dédiées, dans leurs bureaux, avec des départements IT dédiés. Aujourd’hui, le stockage des données s’oriente de plus en plus vers des services de sous-traitance de stockage et de sauvegarde des données dans le Cloud.
Dans le contexte actuel où les cybermenaces sont de plus en plus présentes, il est primordial pour les entreprises de s’assurer que leurs systèmes d’information soient sécurisés. La migration vers les environnements multi-Cloud, suivant une démarche de digitalisation à marche forcée des entreprises, nécessite une évaluation préalable du risque afin de sélectionner la ou les solutions qui répondront aux besoins spécifiques de chaque entreprise sur le long terme.
La solution à retenir n’est pas uniquement technique. Confier ses données, c’est aussi faire confiance à une entreprise tierce qui devra les héberger sur le long voire le très long terme. Il faudra mettre en place des process / bonnes pratiques qui s’appuieront sur une organisation dédiée qui devra suivre des campagnes de formation pour pouvoir implémenter et maintenir ces technologies. Par exemple, sur le plan juridique, une bonne pratique, lors de la signature du contrat de service Cloud sera de prévoir la gestion des données gérées ou stockées chez le prestataire.
Six domaines sont à couvrir pour évaluer au mieux les risques potentiels :
1. Le contexte stratégique
Dans le cas d’une entreprise française, les risques liés à l’extraterritorialité du droit américain devront être pris en compte. En effet, lorsqu’une entreprise a recours à un fournisseur de services Cloud de droit américain exerçant hors des Etats-Unis, en vertu du Cloud Act[1], les autorités américaines peuvent, sur présentation d’un mandat (warrant) ou d’une citation à comparaître (subpoena), exiger de ces fournisseurs de services les informations de leurs clients y compris sans en informer l’utilisateur. Le patrimoine informationnel mais surtout la propriété intellectuelle ainsi que les secrets d’affaires de l’entreprise sont par essence ce qu’il faut sauvegarder à tout prix. Compte tenu de cette loi extraterritoriale, le choix du fournisseur de services cloud est donc primordial pour l’entreprise.
Par conséquent, une analyse de risques doit être effectuée préalablement à la signature du contrat de services Cloud. Dans certains cas, le fournisseur de services Cloud s’autoévalue et met à disposition son évaluation dans le cadre de son offre de services. Il est à noter que cette évaluation ne sera pas suffisante et nécessite une démarche identique de la part de l’entreprise qui veut avoir recours à des services de Cloud et aussi mettre en place des solutions techniques dans le cas de la gestion des données sensibles de l’entreprise.
Le choix d’un hébergeur national est en pratique limité car les solutions françaises n’offrent pas les mêmes possibilités techniques que leurs concurrentes américaines. Ces derniers proposent en général des contrats “clés en mains”, de type contrat d’adhésion, difficilement modifiables. Un trade-off entre services, sécurité, et potentiel de scalabilité est donc requis pour sélectionner l’option la plus adéquate au cas par cas.
La réputation d’une entreprise peut être mise en jeu si son fournisseur de Cloud, ne peut plus assurer ses services. Ces problèmes de scalabilité et de dépendance vis à vis d’un tiers peuvent engendrer des conséquences dramatiques.
Il faut de plus évaluer le coût d’une solution locale d’hébergement par rapport à une migration dans le Cloud ; certains coûts peuvent être invisibles au premier abord. Cette migration engendre en effet des frais de location permanents, des besoins de support et de capacité qui pourront faire évoluer les coûts dans le temps. Dans le cas du Cloud français moins développé en comparaison des solutions américaines, les solutions françaises restent donc vulnérables aux grosses attaques par déni de service ; les données peuvent être paralysées et impacter durablement les sociétés clientes.
En cas de non prise en compte des recommandations, les conséquences peuvent être graves : allant parfois jusqu’à la fermeture de l’entreprise ou à des sanctions pénales et financières pour les dirigeants ; comme c’est le cas avec la Réglementation Européenne de Protection des Données à caractère personnel.
2. La conformité réglementaire
Après avoir évalué le contexte stratégique, il faut s’assurer que tous les cadres réglementaires du pays où les données sont hébergées pourront s’appliquer sans entrer en contradiction avec la législation du pays où l’activité est exercée. Pour une bonne maîtrise de ses données et services dans le Cloud, il est recommandé de mettre en place une cartographie des données pour identifier tous les acteurs et règles en présence.
En Europe, il faudra s’assurer que la gestion des données dans le Cloud respecte les conditions de sécurité du RPGD (Règlement Général sur la Protection des Données. Dans le domaine médical les solutions devront être certifiées HDS, Hébergeur de Données de Santé, en France, ou HIPAA aux Etats-Unis, Health Insurance Portability and Accountability Act). Ainsi le choix du service cloud dépendra de ces réglementations.
3. Les ressources humaines
La migration vers le cloud implique des changements importants au sein de l’entreprise. Les premiers impactés sont les département IT de l’entreprise, qui peuvent se retrouver sans activité à la suite du recours à la sous-traitance. Le multi-Cloud implique une transition : moins de personnel technique et plus de gestion de sous-traitance, bien que des profils techniques doivent cependant être conservés pour garder la compréhension des enjeux et le contrôle de la sous-traitance sur le système.
Une bonne pratique est de prendre en compte ce changement d’architecture vers un ou plusieurs Cloud en modifiant les objectifs des experts de l’IT qui seront en charge de la gestion / supervision de la sous-traitance.
D’une manière générale, de multiples problématiques apparaissent et une sensibilisation auprès de tous les collaborateurs de l’entreprise se révèle essentielle.
4. La procédure d’achat de prestation de service
Au vu des analyses précédentes, le choix d’un fournisseur sera précédé par la mise en place de bonnes pratiques. Avant de signer le contrat il faudra y intégrer cinq clauses de sécurité (définition de la confidentialité, Respect de la confidentialité NDA[2], réversibilité, conformité par rapport à la loi et engagement du niveau de service SLA[3]) et obtenir un engagement de la part du fournisseur à un questionnaire de sécurité de la gestion des données.
Pendant l’exécution du contrat, il faudra mettre en place une gouvernance adaptée, c’est-à-dire un mode de suivi et de contrôle du niveau des services périodiquement, ainsi qu’un rapport listant les contrôles effectués.
5. La mise en place des barrières de sécurité
Dans un futur proche, un changement de paradigme lié au développement de l’ordinateur quantique impactera les solutions de Cloud. Des problèmes de chiffrement doivent donc être anticipés. Les réponses à cette problématique sont encore peu nombreuses : une solution dite de chiffrement symétrique par blocs, l’Advanced Encryption Standard AES-256, s’appuie sur un Hardware Security Module (HSM) certifiée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est actuellement la seule à y répondre. On pourra envisager des solutions additionnelles utilisant la blockchain pour garantir l’intégrité de ses données. Il faudra cependant se rappeler que son utilisation n’a pas pour objectif d’assurer la confidentialité de l’information.
Une classification des données simple et compréhensible par tous les employés est également importante pour pouvoir définir l’accessibilité aux données (public, interne, confidentiel, hautement sensible) et savoir à qui elles sont destinées.
La gestion des identifiants, droits d’accès, backups, rapports de conformité réglementaires doit aussi être incluse pour le Cloud comme c’était le cas dans les systèmes de stockage locaux.
Il faut également surveiller ce qui se passe en termes d’environnement physique et placer des sondes dans son datacenter ou ce qui reste en local afin de contrôler les risques physiques. Enfin il faut protéger son Active Directory qui peut mettre en péril toute l’activité de l’entreprise en cas de compromission.
Enfin la formation et l’éveil à la protection des informations des fournisseurs est primordiale. Des modules de formation disponibles gratuitement en ligne, la plupart du temps à travers des vidéos ou MOOCS (Massive Open Online Courses), devrait se généraliser.
6. Monitoring des solutions Cloud
La nécessité de mettre en place un Security Operation Center (SOC) se révèle essentielle pour superviser les activités de l’entreprise. Au niveau de ces solutions techniques, il est utile d’intégrer des solutions de machine learning afin d’étendre le périmètre des analyses des données et d’utiliser des indicateurs de compromission et de les brasser afin de diminuer le nombre de faux positifs et d’agir pour réduire le risque.
Le concept de “Zero Trust” est un modèle de gestion des accès intéressant mais complexe à mettre en œuvre. Il a été initié dans le cadre du Jericho Forum en 2003 et l’avènement du concept de Dé-périmétrisation, c’est-à-dire la suppression de la limite entre organisations et le monde extérieur, reprise la suite par Open Group.
Pour appliquer ce concept dans l’entreprise et gérer les accès, les quatre paramètres suivants devront être renseignés :
- Who : qui utilise l’appareil, les données ?
- What : que fait cette personne ?
- Why : pourquoi ?
- How : comment ?
En pratique, au sein de l’entreprise, le critère le plus difficile à mettre en place est celui du droit d’en-connaître. Il y a des guerres internes et bloquer l’accès pour certains collaborateurs à certaines applications ou avoir besoin d’une validation qui prend du temps peut impacter les activités d’une société. La mise en place d’une « whitelist », c’est-à-dire le nombre d’applications exécutables disponibles par type de poste permet en théorie d’augmenter la sécurité mais est difficile à mettre en place. C’est l’idée de segmentation.
Enfin il est primordial de mettre en place un suivi régulier du fournisseur sélectionné. Ce dernier devant être transparent et transmettre une synthèse des actions et contrôles menés sur l’infrastructure. Il ne faut cependant pas positionner cette entreprise comme un simple prestataire que l’on pilote mais l’amener à se poser naturellement les bonnes questions sur leurs actions et processus.
En conclusion, avant de choisir une solution de Cloud, il faut s’assurer que la stratégie d’évolution du fournisseur de Cloud est cohérente avec la stratégie d’évolution de l’entreprise. Si un fournisseur a pour objectif de se faire racheter ou de changer de nationalité, il faudra tenter de l’anticiper. Il faudra également étudier les choix stratégiques et techniques, et s’assurer qu’on a les compétences en interne pour gérer les technologies du fournisseur. Pendant la durée du contrat avec le fournisseur, il faudra garder une relation de confiance avec celui-ci qui devra se maintenir sur le long terme. L’humain est particulièrement important pour s’assurer que l’entreprise et le fournisseur partagent les mêmes valeurs et le même objectif. On mettra en place des procédures de contrôle et de rencontre dans le cadre du Service Level Agreement (SLA).
Les 6 domaines proposés aideront à mettre en place l’analyse de risques pour le choix d’un acteur Cloud. Une vision top-down couvrira l’aspect macro (besoins principaux et stratégiques) jusqu’au niveau micro (détails) tout en gardant une vision pragmatique du système étudié.
Le Club Cyber AEGE