FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud

La série de recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (accessible ici) est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.

Cette FAQ vise à répondre aux questions principales concernant les recommandations de l’agence. La liste des questions-réponses sera progressivement enrichie.

1. Les recommandations de l’ANSSI ont-elles un caractère obligatoire ?

La série de recommandations mis à disposition par l’ANSSI est un outil d’aide à la décision non contraignant. Certains points précis évoqués dans le document sont toutefois obligatoires (en cohérence avec la doctrine « Cloud au centre » de l’Etat qui impose pour l’administration, et plus spécifiquement pour les données sensibles, de recourir à des solutions cloud qualifiées SecNumCloud).

2. Comment utiliser ces recommandations ?

Dans le cadre d’un projet de migration d’un système d’information sensible vers un hébergement cloud, les recommandations de l’ANSSI peuvent être utilisées comme un outil d’aide à la décision qui permettent d’identifier des étapes essentielles de toute réflexion à conduire en amont d‘une éventuelle migration, en prenant en compte les différents aspects techniques et organisationnels de celle-ci. Le document précise les types d’offres cloud à privilégier, en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé.

3. Quelles sont les recommandations de sécurité à suivre lors de la migration d’un système d’information vers un hébergement cloud ?

L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques.

En complément des précautions d’emploi indiquées dans le document mis à disposition par l’ANSSI, il est important que l’entité responsable du système d’information s’assure des bonnes configurations et de la sécurité des solutions cloud choisies. Ainsi, il est de la responsabilité des entités d’identifier l’offre la plus adaptée à leurs besoins, d’acquérir les licences idoines auprès des offreurs cloud, ainsi que de configurer les bonnes options de sécurité. Par ailleurs, l’insertion d’une clause de réversibilité permet d’éviter toute dépendance à une offre cloud unique et à ses évolutions futures.

D’autres bonnes pratiques sont à privilégier, notamment des audits réguliers de la solution ; le suivi des accès ; le suivi des vulnérabilités du fournisseur cloud ; etc

4. Le déploiement d’un SI dans le cloud doit-il faire l’objet d’une analyse de risque et/ou d’une homologation ?

L’ANSSI recommande de conduire une analyse risque argumentée impliquant les métiers et les décideurs (cf. chapitre 5), afin d’éclairer la décision de déployer/migrer le SI, sensible ou non, dans un cloud à l’étude.

Cette analyse de risque sera éventuellement reprise, après décision, lors de la démarche d'homologation. Pour rappel, la règlementation (II901) stipule que tout système d'information sensible doit faire l'objet d'une homologation de sécurité avant sa mise en service. De même, les règles de sécurité s'appliquant aux SIIV exigent une homologation pour tout SIIV. L’analyse de risque s’adresse, quant à elle, à toute entité sans distinction.

La prise en compte des nouveaux risques propres au déploiement est cruciale et doit intervenir dès la phase de projet. L’analyse de risque doit prendre en compte le périmètre du CSP, notamment les mesures technologiques et organisationnelles (dont la segmentation) qu'il met en œuvre pour répondre aux exigences du référentiel SecNumCloud.

5. La qualification SecNumCloud peut-elle remplacer l’homologation ?

La conformité au référentiel SecNumCloud ne se substitue pas aux exigences légales ou réglementaires applicables à certaines données spécifiques, telles que les données de niveau Diffusion Restreinte ou les données de santé. Les règles de sécurité s'appliquant aux SIIV stipulent une homologation obligatoire de chaque SIIV, prononcée par l’opérateur et incluant un audit réalisé selon les critères définis par l’ANSSI (voir le référentiel des prestataires d’audit de la sécurité des systèmes d’information (PASSI)).

La qualification vise à donner confiance dans la bonne facture de l’offre et sa bonne administration. Elle repose sur un objectif de protection des données du commanditaire à travers des engagements contractuels mais elle n’apporte pas de garanties techniques fortes permettant de se prémunir d’un accès du prestataire aux données traitées sur le système d’information du CSP.

Les commanditaires souhaitant assurer la protection, sur le plan technique, de leurs données contre un accès par le prestataire devront par conséquent mettre en œuvre des moyens complémentaires et maîtriser le chiffrement de leurs données.

6. Si le cloud commercial SNC embarque des SIIV, devient-il SIIV ?

La recommandation de l’ANSSI indique que le recours à une offre commerciale qualifiée SecNumCloud est possible (mais non préconisé) sur la base d’une analyse de risques et en respectant strictement les obligations règlementaires applicables aux SIIV.

Si le CSP n’est pas un OIV, il ne peut pas déclarer son SI d’hébergement comme SIIV. Néanmoins, dans le cas où le cloud commercial héberge un SIIV, l’entité responsable du système d’information doit soumettre contractuellement le fournisseur de service à garantir les clauses organisationnelles et techniques contribuant à la conformité de l’OIV aux règles de sécurité s'appliquant aux SIIV.

De même, l’OIV ne sera pas dispensé de fournir la démonstration de toutes ces garanties, y compris les mesures imposées contractuellement au CSP.

7. Pour un SecNumCloud commercial, qu’est-il possible d’exiger comme engagement contractuel du fournisseur ? Par exemple, des administrateurs habilités Secret ?

L’agence consent à ce que le DR puisse être géré par des entreprises privées et leurs solutions commerciales. Le guide prévoie également des cas particuliers, tels que pour le DR-SF, en recommandant des offres cloud interne ou communautaires, pour lesquelles les administrateurs sont tous de nationalité française.

Néanmoins, la qualification SecNumCloud ne peut pas imposer une habilitation (au sens de l’IGI1300) du personnel d’un offreur. Si le bénéficiaire estime avoir un besoin plus conséquent de sécurité, il relève de sa responsabilité, en s’appuyant sur son analyse de risques, de demander des garanties (exigences de sécurité) supplémentaires. L’habilitation des administrateurs peut en faire partie.

Il est à noter que certains offreurs de la BITD proposent des offres cloud destinées à traiter des informations DR/RUE/NR, avec des personnels habilités. Dès lors qu’il est qualifié SecNumCloud, ce type d’offre répond à la recommandation d’offres communautaires du document ANSSI.

A noter qu’à date, aucune offre communautaire n’est labelisée SecNumCloud.

8. Quelles garanties peut-on exiger de son fournisseur cloud ? Peut-on obtenir son analyse de risques ?

L’agence fournit uniquement le certificat SecNumCloud, sans y joindre l’analyse ou la trame d’évaluation complétée à l’occasion du processus de certification.

L’entité contractante peut cependant rappeler les exigences SecNumCloud suivantes à son fournisseur de cloud :

18.4.a : Le prestataire doit documenter et mettre en œuvre une politique permettant de vérifier la conformité technique du service aux exigences du présent référentiel. Cette politique doit définir les objectifs, méthodes, fréquences, résultats attendus et mesures correctrices.

19.1.f : Le prestataire doit décrire dans la convention de service les moyens techniques et organisationnels qu’il met en œuvre pour assurer le respect du droit applicable.

L’entité doit contractualiser une offre SecNumCloud qui correspond à ses besoins en matière de cloisonnement et d’options de sécurité. Il lui revient d’engager un dialogue avec son offreur, de s’informer des briques techniques utilisées et de la manière dont les ressources (compute, réseau, stockage) sont dédiées ou mutualisées. Ces informations donneront des indications sur le niveau de risque à accepter.

9. Comment s’articulent les recommandations de l’ANSSI avec le futur schéma de certification européen pour les services cloud (EUCS) ?

Le schéma de certification européen services cloud (EUCS) est actuellement en cours d’élaboration. Les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud seront mises à jour lors de l’entrée en application du schéma de certification européen EUCS.

10. Comment s’articule le référentiel SecNumCloud avec les règles de sécurité s'appliquant aux SIIV, à l’II901 et à l’IM900 ?

Les recommandations pour l’hébergement des SI sensibles dans le cloud ne relèvent pas du réglementaire. Le référentiel SecNumCloud a été élaboré dans le but de contrer des menaces jusqu'au niveau criminel et d’apporter une protection contre les lois à portée extraterritoriale. A ce niveau de menace, SecNumCloud cherche à se prémunir, avec un bon degré de confiance, contre les attaques par rebond entre tenants de bénéficiaires.

Les mesures de protection des SIIV (LPM) et SI DR (II901, IM 900) répondent quant à elles à un niveau de menace d’origine étatique

11. Comment répondre à l’absence d’options VPN qualifiée dans certains services SecNumCloud commerciaux ?

L’II901 stipule que les informations portant la mention Diffusion Restreinte doivent être chiffrées à l'aide de moyens agréés à ce niveau par l’ANSSI, dès lors qu'elles transitent ou sont stockées en dehors d’une zone physiquement protégée dans les conditions prévues.

Hors de ce cadre réglementaire, l’ANSSI a publié un référentiel relatif à l’IPsec pour permettre à toute entité de configurer leurs équipements et logiciels VPN dans l’esprit du DR, même s’ils n’ont pas été qualifiés. Voir également les Recommandations de sécurité relatives à TLS pour déployer le VPN TLS de manière sécurisée.

12. Où trouver plus d’informations sur le Visa de sécurité SecNumCloud évoqué dans les recommandations ?

Nous vous invitons à consulter :

La rubrique dédiée au Visa de sécurité SecNumCloud ;
La FAQ dédiée au Visa de sécurité SecNumCloud.

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud