Sécurité : Cloud, informatique en nuage
Sécuriser les données et les traitements dans un environnement cloud.
Le recours à l’informatique en nuage (cloud) est perçu comme un moyen plus rapide et flexible de déployer des nouveaux services. Cependant, les risques spécifiques liés au recours au cloud doivent être pris en compte lors de la mise en œuvre d’un traitement de données. Le fournisseur du service cloud doit présenter des garanties suffisantes pour assurer la mise en œuvre de mesures de sécurité. Toutefois, le client a également un rôle à jouer pour sécuriser ses données et ses traitements dans le cloud, non seulement pour les protéger de tiers malveillants mais également du fournisseur lui-même.
Les précautions élémentaires
Cartographier les données et les traitements dans le cloud et maintenir à jour cette cartographie. Inventorier également les services cloud utilisés (y compris les applications SaaS). Identifier les ressources cloud non utilisées ou non surveillées, et le cas échéant, les retirer.
Évaluer les besoins en sécurité des traitements mis en œuvre, puis choisir :
-
le mode de déploiement des services (public, privé, hybride, communautaire, multicloud) adapté ;
-
son fournisseur après avoir évalué le niveau de sécurité proposé (notamment en termes de sauvegarde, redondance, chiffrement, sécurité physique, sécurité de la maintenance) par rapport à des spécifications de sécurité cloud reconnues.
Prendre en compte les services cloud dans l’analyse de risques (voir la fiche n°20 - Analyse de risques), mais également dans les PCA/PRA (voir la fiche n°18 - Prévoir la continuité et la reprise d’activité), tout en tenant compte de ses spécificités.
Formaliser les obligations de sécurité et la répartition des responsabilités entre le fournisseur et le client dans un contrat (voir la fiche n°14 - Gérer la sous-traitance).
Vérifier que tous les acteurs impliqués dans la fourniture du service cloud maintiennent le niveau de sécurité recherché (le fournisseur lui-même ainsi que ses éventuels prestataires).
Configurer les outils de sécurité mis à disposition par le fournisseur le cas échéant (par exemple : chiffrement, gestion des accès et des identités, pare-feu, outil anti-DDoS) en respectant la politique interne de sécurité des systèmes d’information.
Appliquer les précautions élémentaires du présent guide aux traitements dans le cloud, en particulier :
- chiffrer les données au repos et en transit et avoir une gestion des clés cryptographiques appropriée (voir la fiche n°21 - Chiffrement, hachage, signature). Il est à noter que l’utilisation des services de gestion de clefs proposés par le fournisseur de service implique que ce dernier a la capacité d’accéder aux données ;
- attribuer méticuleusement les accès et autorisations aux seules personnes habilitées à accéder aux ressources (données et applications) dans le cloud et appliquer le principe de moindre privilège (voir la fiche n°5 - Gérer les habilitations) ;
- authentifier les utilisateurs pour les accès aux services dans le cloud (voir la fiche n°4 - Authentifier les utilisateurs) et n’accorder que les habilitations nécessaires (voir la fiche n°5 - Gérer les habilitations) ;
- configurer les permissions liées aux ressources dans le cloud ;
- réaliser des sauvegardes (voir la fiche n°17 - Sauvegarder) et vérifier que le fournisseur dispose bien de lieux de sauvegarde géographiquement éloignés des centres de données.
Ce qu'il ne faut pas faire
- Migrer toutes ses données et traitements dans le cloud, sans identifier les données qui ne devraient pas faire l’objet d’un traitement dans le cloud, en raison de leur sensibilité.
- Négliger les aspects liés à la sécurité dans la sélection du fournisseur de service cloud.
- Présumer que l’obligation de sécurité dans le cloud incombe uniquement au fournisseur.
- Avoir un niveau de sécurité plus bas que si les traitements avaient été effectués en local.
- Ne pas considérer les données de télémétrie et de diagnostic ou les données d’usage collectées par le fournisseur dans l’analyse de risques.
- Croire que le chiffrement côté serveur permet de garantir la confidentialité envers le fournisseur.
- Ne pas configurer ou mal configurer les outils de sécurité mis à disposition par le fournisseur.
- Partager des moyens d’authentification (ex. : identifiants ou clés d’accès en clair codées en dur dans les fichiers du code source des applications ou des scripts exécutés dans le cloud).
- Avoir recours à des services de cloud sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités pour les transferts de données en dehors de l’Union européenne.
- Avoir une stratégie de sauvegarde dans le même centre de données où sont hébergées les données.
- Signer un contrat indiquant que le fournisseur de cloud peut accéder aux données et aux systèmes pour certains besoins (y compris sécurité ou obligation légale), sans autorisation du client.
Pour aller plus loin
- Auditer régulièrement la sécurité du fournisseur.
- Privilégier des fournisseurs adhérant à des codes de conduite RGPD et s’assurer que ces codes de conduite contiennent des exigences spécifiques en matière de sécurité et des précisions sur les obligations règlementaires spécifiques au cloud. Voir notamment les codes approuvés par les autorités après avis du Comité européen à la protection des données (CEPD) : le code CISPE ou le code EU Cloud.
- Envisager le recours à un fournisseur qualifié SecNumCloud par l’ANSSI pour le traitement des données d’une sensibilité particulière. La règle R9 de la doctrine « cloud au centre » impose le recours à un tel prestataire pour certains acteurs.
- Recourir à un fournisseur certifié hébergeur de données de santé (HDS) pour le traitement de données de santé conformément à l’Article L1111-8 du code de la santé publique. L’Agence du numérique en santé (ANS) publie la liste des hébergeurs certifiés. À noter que la certification a progressivement remplacé l’agrément HDS depuis 2018 et que certains hébergeurs disposent encore d’un agrément valide.
- Consulter la communication sur les pratiques de chiffrement dans le cloud public.
- Consulter la communication sur les outils pour la sécurité d’applications web dans le cloud.