Now Reading
Sécurité & Cloud : pour une France dans la confiance et la croissance.
0

Sécurité & Cloud : pour une France dans la confiance et la croissance.

by Cloud Guru9 décembre 2014

Dans ce troisième volet du tour d’horizon des normes, standards et labels en matière de sécurité dans le cloud, je vous propose une étape finale « France », avec l’état d’avancement de quelques initiatives majeures en cours de développement.

Vers un référentiel d’exigences pour les entités publiques.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information ) en charge de cette mission vient de clôturer un appel à commentaires autour d’une version initiale de ses exigences pour les prestataires de services d’informatique en nuage qui fournissent une externalisation du stockage et du traitement des données de tous les types d’entités (administrations, collectivités territoriales, opérateurs d’importance vitale, entreprises, etc.).
Cette étape doit être suivie par une phase expérimentale et enfin la délivrance d’accréditations pour les prestataires de services répondant aux critères du référentiel finalisés.
Cette initiative répond à la nécessité pour les pouvoirs publics de préciser leurs exigences pour le déploiement des services Cloud pour les entités publiques, dans le périmètre des fonctions régaliennes de l’Etat, et en fonction des risques et de la nature des informations qu’elles traitent.
Les principaux objectifs du référentiel sont :

• Lister les exigences et recommandations que les prestataires qualifiés proposant une offre sécurisée de service d’informatique en nuage doivent respecter.

• Permettre la qualification des prestataires proposant une offre de services d’informatique en nuage.

• Permettre au client de disposer de garanties sur la compétence du prestataire, sur la qualité des services qu’il fournit, et sur la confiance qu’il peut lui accorder avant de lui confier des données.

• De façon annexe, Il peut être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire, pour la mise en nuage des données de tous les types d’entités.

• Les prestataires doivent respecter les règles générales qui leur sont imposées en leur qualité de professionnel, notamment celles concernant leur devoir de conseil vis-à-vis de leurs clients, ainsi que la législation nationale.

Vers une labellisation dans le domaine privé.

La confiance constitue l’un des éléments majeurs dans l’adoption des technologies numériques, notamment celles liées au Cloud computing, et l’émergence de labels dédiés est une première réponse portée par une des initiatives du plan de la nouvelle France industrielle, et résumée ci-dessous selon les termes du rapport de cette initiative.
Label « Secure Cloud »
Afin d’établir durablement cette confiance, il convient donc de favoriser l’émergence d’une offre qui se différencie notamment par la qualité et par la transparence : la définition d’une classe de services labellisée « Secure Cloud » constituerait un atout dans cette perspective.

Ceci pourrait se faire en lien avec les travaux du « European Cloud Partnership» (ECP) et ceux de l’ANSSI en France, sur la base de recommandations contractuelles de « Service Level Agreements » (SLAs) complétées par des possibilités de contrôle effectif de l’application des règles de sécurité et des bonnes pratiques. Les services concernés seraient l’ensemble des services cloud : infrastructures, plateformes et logiciels.

Les opérateurs « Secure Cloud » proposeraient donc un référentiel de conditions contractuelles types (chacune avec plusieurs options), exprimées de façon simple, touchant notamment les domaines suivants:

  • Sécurité : protection des données personnelles, sécurité de fonctionnement ;
  • Accès au service : disponibilité, gestion des incidents, reporting, portabilité des données,réversibilité ;
  • Confiance : auditabilité, certifications, exigences réglementaires, pénalités ;
  • Localisation des données et de leur traitement : sauf exception approuvée par le client, garantie d’hébergement physique des infrastructures et des données (y compris pour leur traitement) dans une zone de confiance formée par les pays adhérant aux recommandations du European Cloud Partnership (« opt-in » pour les pays).

Cette labellisation serait naturellement ouverte à tous les opérateurs mettant effectivement en œuvre ces bonnes pratiques, y compris en matière de localisation des données et de leur traitement, et ceci sans aucune distinction de nationalité…….

Vers une convergence public / privé ?

En effet, l’ANSSI rappelle également que ses objectifs sont la recherche d’une convergence entre leur référentiel et le label « Secure Cloud » créé dans le cadre du plan « Cloud computing » de la Nouvelle France industrielle.
Ce point est clé, car l’essor du Cloud est bénéfique aux organisations de toute taille et de tous les secteurs, donc il convient de rationaliser ce qui s’apparente aujourd’hui encore à une multiplicité de référentiels, dont l’émergence pourrait faire peser des charges importantes pour les acteurs du domaine, alors que la concurrence internationale est forte et ce marché « France » en phase de maturation. Cette convergence globale « France » devrait également s’inscrire dans la dimension « Europe » portée par la création d’un marché intégré du numérique.
La sécurité, la confidentialité et la conformité aux normes sont assurément des responsabilités partagées entre tous les acteurs du Cloud et déterminantes pour porter la croissance de ce marché, en France.

Vous recherchez des réponses ou des informations sur les aspects liés à la sécurité dans le Cloud ? Des experts de tous les horizons répondent à vos question lors d’un CloudChat, le 11 décembre à 16H (#cloudavis)
Vous pouvez d’ores et déjà vous logger avec votre compte twitter de préférence (ou linkedin, voire Facebook) => https://www.crowdchat.net/cloudavis

Auteur : Claude Riousset
Claude Riousset est « Consultant indépendant » autour des technologies de l’information. Ayant déjà accompagné de nombreuses entreprises dans les transformations de cette industrie, depuis 40 ans, il intervient aujourd’hui en tant qu’évangéliste, formateur ou consultant pour éclairer ou plus les parcours des entreprises depuis les acteurs de terrain et jusqu’au CxO. Précédemment, Claude a notamment exercé des fonctions de support, manager de projet, consultant technologique, architecte et de ‘business development’ pour IBM dans des domaines très variés dont récemment les technologies Open et le Cloud. Suivez-moi également sur Twitter @riousset, LinkedIn /riousset/ ou Slideshare /criousset/

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?