SecNumCloud : l’ANSSI pose la première brique de son « référentiel de confiance cloud »

CloudSécurité
secnumcloud

L’ANSSI a publié une première « version applicable » de son référentiel pour la certification des prestataires de services cloud.

Pari tenu pour Guillaume Poupard.

Au mois d’octobre, dans le cadre des Assises de la sécurité, le directeur général de l’ANSSI avait affirmé que la publication du référentiel SecNumCloud interviendrait avant la fin de l’année.

Une première « version applicable » – document PDF, 44 pages – datée du 8 décembre 2016 vient d’être mise en ligne. Elle définit les exigences applicables aux fournisseurs de services d’infrastructure (IaaS), de plate-forme (PaaS) et de logiciels (SaaS) pour être définis comme des prestataires « de confiance ».

Les travaux avaient démarré il y a plus de deux ans dans le cadre des plans de la « Nouvelle France industrielle ». Une phase expérimentale avait été lancée en septembre 2014, ponctuée d’évaluation menées entre mars 2015 et novembre 2016 par trois centres d’audit auprès de 9 prestataires sélectionnés.

Ces évaluations se sont faites sur la base d’une version « intermédiaire » (2.0) du référentiel. Elles ont entraîné des refontes sur plusieurs points dont le contrôle d’accès et la gestion des identités, la cryptologie, ainsi que la sécurité des communications.

Le document rendu public contient les exigences du niveau « Essentiel », défini comme le niveau de sécurité qui permet le stockage et le traitement de données pour lesquelles un incident de sécurité aurait « une conséquence limitée pour le client ».

Relatives au stockage et au traitement de données pour lesquelles un incident de sécurité aurait « une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité », les exigences du niveau « Avancé » seront publiées « ultérieurement ».

Chiffrer et cloisonner

Fondé notamment sur la norme internationale ISO 27001, le référentiel « Essentiel » oblige à respecter les orientations du guide de la bonne hygiène informatique de l’ANSSI, du chiffrement logiciel à l’authentification forte. Les prestataires sont également tenus d’héberger les données dans l’Union européenne et de fournir une interface ainsi qu’un support de premier niveau en français.

Le chapitre 9, qui concerne le contrôle d’accès et la gestion des identités, impose entre autres de proposer aux clients des moyens d’authentification à plusieurs facteurs pour l’accès des utilisateurs finaux. Sont également abordées les mesures de cloisonnement entre les clients, la différenciation des rôles des utilisateurs du service et la capacité à éviter les droits d’accès incompatibles entre eux.

Sur le volet cryptologie sont évoqués le chiffrement des supports amovibles et des supports de sauvegarde amenés à quitter le périmètre de sécurité physique du système d’information associé au service cloud, l’effacement des données de clients en cas de réallocation de ressources ou encore la gestion des clés par l’intermédiaire de conteneurs de sécurité.

Pour ce qui est de la sécurité des communications, les prestataires devront notamment, pour être qualifiés, établir une cartographie des systèmes d’information associés à leurs services, séparer les flux réseau et être en mesure de d’y détecter les incidents.

Parmi les autres mesures, on soulignera l’importance accordée au suivi des correctifs de sécurité, à l’identification des risques liés à des cumuls de responsabilités, au marquage de zones avec contrôle des accès, ainsi qu’à la séparation des environnements de développement, de test et d’exploitation.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur