Cloud de confiance
Certifications et innovations en terme de chiffrement et de localisation de la donnée.
Pour garantir la confidentialité et l’intégrité des données qui leurs sont confiées, les fournisseurs de services cloud doivent prendre les mesures appropriées pour en garantir la sécurité. Cette démarche passe par la mise en place des processus garantissant une surveillance adéquate et des alertes immédiates en cas de violation de la stratégie de données. Un cloud doit fournir à ses clients tous les choix de confidentialité et de contrôle et garantir qu’eux seuls conservent le contrôle de leurs données, des protocoles d’accès et des autorisations applicables.
Par ailleurs, certaines réglementations gouvernementales affectent la capacité à faire respecter la confidentialité des données. Les fournisseurs peuvent alors être contraints par certaines agences nationales ou fédérales à donner accès aux données de leurs clients. Dans ce cas, le fournisseur de cloud ne peut qu’informer l’utilisateur que cette contrainte s’est imposée à lui…
La confiance dans le Cloud passe donc par la mise en œuvre, par l’entreprise ou l’utilisateur final, de solutions permettant de garantir la confidentialité de leurs données. Le choix d’un Cloud souverain permet également de protéger les données sensibles contre toute réglementation étrangère contraignante à l’égard du fournisseur.
Propriétés des données
Les données restent toujours la propriété exclusive du client, même si celui-ci décide de les transférer vers un autre service.
Accès limité aux données client
Aucun employé d’un fournisseur de services cloud ne devrait pouvoir accéder aux données des clients, sauf en cas d’urgence ou de demande d’assistance expresse par ce dernier. Seul le propriétaire des données doit pouvoir y avoir accès, ce qui est applique dans le cas des Clouds de confiance.
Pas de transfert à des tiers
Les fournisseurs de cloud ne doivent pas utiliser les données des clients pour les exploiter à d’autres fins, quelle qu’en soit la nature (amélioration de processus, marketing…).
Localisation et accès aux données
Les clients doivent pouvoir identifier à tout moment où les données sont stockées et qui y a accès.
L’application de ces directives est assez difficile à contrôler par le client final. La plupart d’entre elles font en effet l’objet de règles internes mises en place par les fournisseurs de services et restent invisibles aux utilisateurs. Bien que plusieurs normes de certification soient en place (ISO27001…) et que des droits d’audit existent, le client est contraint de faire confiance au fournisseur pour ce qui concerne l’exécution des termes du contrat d’utilisation et ne dispose pas de réels moyens de vérification.
Comprendre le CLOUD ACT Américain (Clarifying Lawful Overseas Use of Data Act) .
Le CLOUD ACT, modifie la loi « Stored Communications Act » de 1986 qui prévoyait un processus fastidieux (demandes d’assistance juridique internationale fondées sur des traités bilatéraux) afin d’obtenir la communication de toute donnée hébergée en dehors du territoire américain.
Désormais, un simple mandat suffit pour contraindre une société américaine à fournir ces informations, et ce, indépendamment de l’emplacement physique où se trouve les données. Le CLOUD ACT s’applique à toute « personne américaine », la définition de cette notion de personne étant définie de manière très large pour les personnes morales, à savoir, toute société constituée aux États-Unis, y compris ses filiales étrangères.
Ainsi, il n’est pas surprenant que la procédure initiale ouverte contre Microsoft Ireland ait été abandonnée pour être rouverte sous le régime de la loi CLOUD ACT et que Microsoft ait déjà annoncé publiquement que les données seraient transmises conformément à ce nouveau cadre juridique qui s’impose à eux.
Zoom sur SECNUMCLOUD – la nouvelle qualification ANSSI pour l’informatique en nuage.
SecNumCloud est le résultat d’une initiative de L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information). Cette qualification a pour objectif d’accroitre la sécurité des instances gouvernementales et des Organismes d’Importance Vitale. Le projet fait suite à la Loi de Programmation militaire de 2013 avec pour objectif d’offrir une qualification garantissant un très haut niveau de sécurité pour un fournisseur de service Cloud Privé.
Lancé en 2016 avec deux niveaux de garantie, « SecNumCloud avancé » et « SecNumCloud essentiel », le référentiel évolue et devient « SecNumCloud » dans un souci de simplification et de prise en compte des besoins exprimés par les utilisateurs potentiels conduisant à la suspension du niveau avancé.
A l’occasion de l’entrée en vigueur du RGPD et suite à une coopération entre l’ANSSI et la CNIL, SecNumCloud inclut désormais des exigences relatives à la protection des données répondant aux attentes des besoins des entreprises, des administrations et des collectivités.
Cette qualification permet de combler un vide entre les attentes métiers des entreprises et la réalité des contraintes et menaces de sécurité auxquelles sont confrontés les acteurs du Cloud.
L’usage de plus en plus important par les entreprises de services dont la sécurité est approximative rendait indispensable une vérification stricte et un audit continu des mesures de sécurité et de confidentialité mises en œuvre. Cette qualification permet à un fournisseur de service Cloud Privé d’offrir toutes les garanties nécessaires pour que l’utilisateur retrouve confiance dans l’usage du Cloud et accepte d’y stocker ses données sensibles.
Les entreprises et les organisations doivent adopter une approche centrée sur les données pour protéger leurs informations sensibles et se prémunir ainsi contre les menaces avancées dans les environnements complexes et en perpétuelle évolution de la virtualisation, des services cloud et de la mobilité.
Elles doivent en particulier mettre en œuvre des solutions de sécurité offrant une protection cohérente des données sensibles via le cryptage et la gestion des clés cryptographiques. Une plate-forme complète de gestion de la sécurité et du cryptage dans le cloud doit fournir des contrôles d’accès robustes et des fonctionnalités de gestion des clés permettant aux organisations de l’utiliser de manière pratique, rentable et complète pour répondre aux objectifs de sécurité.
Les dernières innovations en matière de chiffrement et de stockage de la donnée permettent de disposer d’une garantie de confidentialité de l’information tout en restant agnostique du service de stockage Cloud utilisé. Ceci permet notamment de bénéficier des meilleurs offres Clouds sans se soucier de la sécurité, et de pouvoir migrer ses données simplement d’un Cloud a l’autre sans être tributaire d’un seul fournisseur de service.
Cette option permet de disposer des avantages d’un Office 365 ou d’un Sharepoint tout en maitrisant la confidentialité des données. Ces dernières peuvent ainsi être partagées ou transmises entre plusieurs zones de confiances en respectant l’unidirectionnalité imposée des flux. La perte de données confidentielles transmises par e-mail est ainsi évitée et l’accès aux données en mobilité peut se faire en toute sécurité.
L’utilisateur peut utiliser sa propre clef privée individuelle pour chiffrer ses données. Dans ce cas, il lui est possible de créer des espaces de travail et de les partager avec ses correspondants dans le monde entier sans jamais craindre pour la confidentialité et l’intégrité des informations. Les blocs de données sont stockés de façon dispersée dans des Clouds choisis par lui et il conserve seul la capacité d’accéder à l’information déchiffrée et de la partager, au sein de sa bulle sécurisée, avec ses correspondants qui utilisent leur propre clef privée.