Face à la multiplication des offres cloud portées par des fournisseurs de tous horizons, l'ANSSI aide régulièrement les entreprises à y voir plus clair. Pour aider celles dotées de systèmes d'information sensibles mais non classifiés dans leurs choix, l'agence a publié ses recommandations. Ces dernières "constituent un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que les systèmes d’information d’importance vitale", explique l'agence. Dans ce guide synthétique - qui s'inscrit dans le sillon de la doctrine cloud au centre portée par la direction interministérielle du numérique - l'agence invite d'abord les organisations publiques et privées concernées à quelques précautions. A commencer par une analyse de risques tenant compte de plusieurs éléments : le niveau de menace maximal auquel sont exposés les différents SI, les risques spécifiques de l’hébergement cloud, la sensibilité des traitements et des données concernés, et les risques juridiques liés à la portée extraterritoriale des lois.

Les recommandations de l'Anssi s'articulent autour de trois piliers : une typologie des offres cloud, un état de la menace et la nature des systèmes d'information. "En fonction de la nature des systèmes d’information, des données et traitements concernés, la menace pourra différer nécessitant de recourir à un type d’offre cloud plus qu’à un autre", souligne l'agence. Concernant la typologie des offres cloud, elle distingue les solutions commerciales (publique, privée et communautaire) et non commerciales (interne et communautaire). "L’usage du cloud conduit progressivement à la transformation de l’architecture des systèmes d’information vers leur hybridation. Les entités peuvent, en effet, recourir à différentes offres cloud en fonction de leur besoin et en complément de leurs infrastructures internes classiques", poursuit l'Anssi. S'agissant des menaces, trois sont répertoriées : stratégique (attaques informatiques persistantes et ciblées, menées ou financées par un État), systémique (attaques informatiques majoritairement opportunistes) et hacktivitse/isolée. "Il est en effet important, en fonction du projet de migration envisagé, d’évaluer le niveau de menace maximal auquel est exposé le système d’information, ainsi que les données et traitements concernés", prévient l'agence. Enfin, la nature des SI fait aussi partie des éléments clé de ses recommandations : diffusion restreinte, doctrine cloud au centre de l'Etat, OIV/OSE et SI d'importance vitale.

Applications des recommandations

Pour les SI sensibles de niveau diffusion restreinte, le régulateur préconise les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et, commerciales privées permettant de disposer d’une infrastructure dédiée évitant le risque de latéralisation d’un attaquant depuis l’environnement d’un client vers un autre. S'agissant des SI doctrine cloud au centre de l'Etat, l'agence rappelle que leur hébergement n’est autorisé que dans les offres cloud qualifiées SecNumCloud (internes, privées, communautaires ou publiques). S'agissant des OIV/OSE, elle recommande tout type d’offres qualifiées SecNumCloud, tandis que pour les SI d'importance vitale, la situation apparait moins évidente.

"Pour les SIIV (système d'information d'importance vitale) compatibles avec les technologies cloud, l’Anssi préconise les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, permettant de disposer d’une infrastructure dédiée évitant le risque de latéralisation d’un attaquant depuis l’environnement d’un client vers un autre", peut on lire dans le guide. Cependant,"l’ANSSI ne s’opposera pas à un autre type d’offre cloud commerciale, à condition : qu’elle soit qualifiée SecNumCloud ; que le responsable de l’entité appuie sa décision sur une analyse de risques argumentée sur l’externalisation de l’hébergement de son SIIV et que les obligations réglementaires applicables 8 aux SIIV soient respectées."