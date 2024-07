L’agence nationale de la sécurité des systèmes d’information s’adresse aux ministères, aux Administrations, aux opérateurs d’importances vitales (OIV) et de services essentiels (OSE). En clair, L’ANSSI cible plus de 200 entreprises et organisations publiques réparties dans 18 secteurs (santé, défense, transport, alimentation, énergies, etc.).

Ces recommandations couvrent la migration potentielle vers le cloud des systèmes d’information de niveau de diffusion restreinte, des SI sensibles et ceux relevant de la doctrine cloud au centre, des SI sensibles des OSE et des OIV ainsi que des SIIV (Système d’information d’importance vitale).

Pour guider les acteurs concernés, l’ANSSI distingue les offres cloud « commerciales » des offres dites « non commerciales ». Les offres cloud commerciales sont rangées en trois catégories : publiques, privées et communautaires. L’expression communautaire renvoie à « un cloud physiquement dédié à un ensemble d’entités d’intérêt commun, étatiques ou privées ». Les offres non commerciales correspondent aux systèmes « cloud » déployés en interne ou de manière communautaire. Pour l’État, l’ANSSI donne l’exemple des clouds internes Nubo (DGFIP, données sensibles) et communautaires PI (ministère de l’Intérieur, diffusion restreinte).

Dans ce document de 16 pages, l’autorité ne fournit finalement que peu de conseils techniques. Il présente également les typologies des cybermenaces et les risques d’ingérences que représentent les lois extraterritoriales. Il a toutefois le mérite de clarifier plusieurs points, en commençant par conseiller le recours à des offres qualifiées SecNumCloud pour l’ensemble des SI sensibles évoquées plus haut.

« Les offres qualifiées SecNumCloud à ce jour sont celles de Cloud Temple, Oodrive et Worldline (SecNumCloud 3.1) ainsi que celles d’Index Education [éditeur de Pronote, N.D.L.R.], Outscale et OVHCloud (SecNumCloud 3.2) », précise l’agence dans un billet sur LinkedIn.

Diffusion restreinte : les offres commerciales qualifiées SecNumCloud envisageables sous conditions Par ailleurs, l’agence apporte une réponse aux responsables de SI diffusion restreinte, un élément attendu par les industriels de la défense. « L’ANSSI préconise les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées permettant de disposer d’une infrastructure dédiée évitant le risque de latéralisation d’un attaquant depuis l’environnement d’un client vers un autre », note-t-elle. Les offres de cloud commerciales publiques ou communautaires « peuvent être envisagées », mais la mutualisation des infrastructures est toutefois présentée comme un risque que les acteurs concernés par le sigle « DR » doivent anticiper. Cette décision sera, de préférence, justifiée par une analyse de risques, informe l’ANSSI. « Il est envisageable d’héberger un SI Diffusion restreinte sur une offre commerciale qualifiée SecNumCloud en démontrant que la solution est protégée au niveau adéquat », retient Victor Vuillard, Chief Security Officer chez S3NS, sur LinkedIn. L’ANSSI ajoute toutefois une condition supplémentaire, puisque l’accès aux informations diffusion restreinte est conditionné par la nationalité. Il existe typiquement un niveau DR français et un autre régi par l’Union européenne. « Une attention particulière doit être portée au lieu d’hébergement et à la nationalité des administrateurs », insiste l’agence. Pour rappel, S3NS, la joint-venture de Thales et de Google Cloud n’a pas encore obtenu sa qualification SecNumCloud. Le dossier de candidature a été déposé le mois dernier. L’agence rappelle par ailleurs que ces conseils « ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud ».

Les OIV et les OSE invités à opter pour les clouds de confiance Quant aux OSE et aux OIV, l’ANSSI leur recommande de se tourner vers tout type d’offres SecNumCloud pour leurs systèmes d’information sensibles et vers les offres internes et communautaires, ainsi que les offres commerciales privées pour leur SIIV. Comme l’indique Victor Vuillard, l’autorité ne s’opposera pas à l’hébergement d’un SI d’Importance Vitale sur une offre cloud commerciale, à condition qu’elle soit qualifiée SecNumCloud et « sous réserve d’une analyse de risques argumentée ». En revanche, les SI sensibles rattachés à la doctrine « Cloud au centre », ceux des ministères et des administrations, ne peuvent être hébergés que sur les offres qualifiées SecNumCloud. Logiquement, les fournisseurs ayant déjà obtenu la qualification SecNumCloud saluent ces recommandations, considérant qu’elles clarifient les chemins de migration des SI sensibles vers le cloud et valident leur stratégie d’investissement. « Ces recommandations, par ailleurs en cohérence avec la doctrine “Cloud au centre” de l’État, valident la stratégie d’OVHcloud d’investir dans la qualification SecNumCloud et ce, depuis 2020 », se félicitent les porte-parole d’OVHcloud, dans un communiqué de presse. « Outscale salue cette initiative de l’ANSSI, qui fournit un guide clair et accessible pour tous les décideurs », déclare pour sa part David Chassan, directeur de la Stratégie, OUTSCALE, Dassault Systèmes.