La sécurité du cloud, et des applications SaaS en particulier, n’est pas que le problème du fournisseur de services. Aussi bien d’un point de vue technique que juridique, la société cliente doit analyser ses risques et les limiter tout au long du cycle de vie des données traitées par ces applications.
La question n’est plus de savoir si l’on doit placer ses données dans le cloud : 82% des entreprises françaises y sont déjà, selon une étude Opinion Way pour le Cesin publiée fin janvier. Dans ces conditions, y a-t-il encore des raisons de ne pas utiliser ces services ? Quelles précautions faut-il prendre ? Qui est responsable en cas de fuite d’informations ? Et pourquoi en 2020, selon Gartner, 95% des dysfonctionnements liés à la sécurité seront-ils imputables aux clients eux-mêmes ?
La sécurité du cloud est souvent considérée comme un devoir du fournisseur du service. En adoptant le cloud, certaines entreprises croient donc se décharger d’un important fardeau. A tout, dans a plupart des cas. Pour illustrer le niveau de responsabilité, il faut distinguer trois modèles. Dans celui du IaaS (Infrastructure as a Service), seule l’infrastructure est fournie : le réseau physique, le stockage, les serveurs ; voire l’hyperviseur. Ans le cas du Paas (Platform as a Service), il faut y ajouter les éventuels réseaux virtuels, le système d’exploitation, les middlewares et les outils d’exécution. Enfin, dans le cas du SaaS, les applications elles-mêmes seront en plus administrées. Quel que soit le modèle, il ne faut pas compter sur le fournisseur pour gérer les éléments qui ne sont pas sous sa responsabilité : ainsi, un provider d’IaaS n’aura pas a s’occuper des mises à jour du système d’exploitation tout comme celui d’un PaaS ne devra pas s’occuper des vulnérabilités du programme exécuté. Dans le cas de la plupart des SaaS, et a fortiori pour les deux autres modèles, les données et les utilisateurs resteront sous la responsabilité du client.
Par exemple, on peut attendre d’un service de partage de type box qu’il soit sécurité contre le déni de service ou les attaques via des vulnérabilités. En revanche, le contenu des fichiers n’est pas de son ressort : il ne sait pas s’il s’agit d’une liste de fournitures ou d’un document confidentiel, et il ne contrôlera pas l’usage qui en est fait par les utilisateurs autorisés. Dès lors, pour de nombreux types d’attaques très impactantes – telles que l’exfiltration de données, la fraude au président, l’usurpation d’identité, la sécurité « intrinsèque » au cloud ne change rien aux problématiques. Si les fournisseurs d’IssA ou de PaaS, tels AWQ, Google, IBM ou Microsoft disposent effectivement d’importants moyens pour sécuriser leurs environnements, il s’agit avant tout pour eux de protéger leurs propres infrastructures Ainsi, certains de ces acteurs sont en train d’enrichir considérablement l’ampleur et la diversité de leurs offres de sécurité pour commercialiser ces services à forte valeur ajoutée.
La shadow IT, un risque majeur
Selon Craig Lawson, analyste chez Gartner, « l’adoption de la mobilité et du cloud peut réduite le contrôle et la visibilité sur l’exposition au risque. Ainsi, les gestionnaires de la sécurité ne sont pas toujours aussi enthousiastes que le reste de l’entreprise quant a l’adoption de ces nouvelles technologies. L’utilisateur par les employés du cloud computing public entraine deux catégories de menaces : celles liées aux services de cloud approuvés qui sont utilisés de façon inadéquate, et celles liées aux données d’entreprises sensibles qui sont manipulées par des application cloud non approuvées. Dans les deux as, le comportement des utilisateurs constitue une préoccupation plus grande que les éventuelles vulnérabilités du prestataire de Saas ».
Pour Alain Bouillé, président du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) et RSSI de la Caisse des déports et consignations, la shadow IT, c’est à dire l’ensemble des services IT « non approuvés », est clairement un problème. Pour trouver des parades, « il faut bien distinguer les services payants des services gratuits. Dans le cas de la shadow IT payante, cela signifie implicitement que la direction informatique n’est pas perçue comme assez réactive ? En améliorant ces aspects, mais également en interagissant plus étroitement avec les services achats, il est possible de juguler ce phénomène : l’objectif n(est pas d’interdire les application SaaS, mais de les faire entrer dans un process sous la supervision du RSSI « .
Cette analyse est également partagée par Joël Bentolila, directeur technique de Talensoft, éditeur de solutions SaaS destinées aux DRH. Si l’on se place cinq ans en arrière, « de nombreuses sociétés se tournaient bers es solutions sans passer par les fourches caudines des directions informatique. Depuis, les ressources humaines sont devenues stratégiques pour l’entreprise ». Et des règles de gouvernance ont été mises en place : « Les DSI ont repris la main et son désormais présents dès l’appel d’offre, ce qi marque un changement majeur ».
La shadow IT gratuite est, elle, plus complexe à adresser, étant souvent utilisée par le salarié sans que sa direction en soit informée. Les conditions générales d’utilisation de ces services que bien entendu personne ne lit) sont souvent incompatibles avec les règles de gouvernances ou les législations applications à l’entreprise (par exemple, stockage de données en dehors du territoire européen), voire les chartes informatiques. En dehors de mesures de filtrage web, il s’agit déjà de savoir quels sont les sites utilisés par les salariés afin de pouvoir proposer des alternatives fiables et « passer de la shadow IT à la lumière », comme l’exprime Joel Bentolla. Il ne faut pas non plus négliger les formations, les serious games, les mises en situation pour expliquer aux salariés pourquoi ces pratiques sont dangereuses pour l’entreprise.
Le DPO (Data Protection Officer), s’il existe dans l’entreprise, aura la légitimité pour entreprendre ces actions. Et comme le rappelle un autre RSSI, expert membre du CESIN, il ne faut pas négliger l’action de la DRH en cas de manquement : « un courrier provenant de ses services aura souvent bien plus de poids que celui de la DSI ». Il fait également remarquer qu’entre les SaaS passant par les achats et la shadow IT gratuite, il existe des intermédiaires. Ainsi « pour les projets de courte durée, la tentation est fraude pour les métiers d’avancer très rapidement, en maitrisant notamment le planning de déploiement, et d’utiliser leurs propres budgets. Le mode SaaS, particulièrement agile, est bien adapté à ce type de situations, et souvent n’entraine – en raison des mires de licences – que des couts limités. Les liens étroits du RSSI avec l’ensemble des autres départements de l’entreprise feront une fois de plus la différence. »
Reprendre le contrôle, sans freiner le changement.
Dans son document 10 recommandations pour maitriser les risques ans le cloud computing, le Cesin montre combien l’évaluation des incidents est importante et doit être un sujet de préoccupation de la direction générale. Alain Bouillé rappelle les deux premiers conseils : « Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité » et « s’il s’agit de données sensibles, voire stratégiques pour l’entreprise, faites valider par la direction générale le principe de leur externalisation ». A partir de ces premières informations « effectuez une analyse de risque du projet en tenant compte des risques inhérents au cloud ». Il peut s’agir de la localisation des serveurs, du maintien de la conformité, de l’isolement des informations par rapport aux autres clients, des pertes liées aux incidents fournisseurs, de l’usurpation d’identité.
Sans oublier la réversibilité de la situation, la dépendance technologique au distributeur ou la disponibilité du service directement lié à Internet. Inspirés par les normes ISO 2700x, les méthodes Ebios (Expression des besoins et identification des objectifs de sécurité, développées en partenariat avec l’Anssi), Mehari (Méthode harmoniée d’analyse de risques, du Clusif) et Octave (Operationnally Critical Threat, Asset, and Vulnerability Evaluation, de l’université Carnegie Mellon) seront d’une aide précieuse pour effectuer cette analyse.
De nombreuses questions trouveront réponse par le biais de l’outil du SaaS. Comme l’explique Joel Bentolila « Nos clients ont la possibilité d’auditer Talensoft ; les méthodes utilisées par l’entreprise, les règles de développement et de sécurité, nos règles d’hébergement, le système de management de la sécurité. Nous documentons l’intégralité de nos bonnes pratiques et sommes en cours de certification ISO 327001. Cela se traduit généralement par des visites de nos sites, de la rencontre avec les équipes et les responsables de la sécurité, voire par l’audit des datacenters ou la réalisation de test d’intrusion (pentests) à l’initiative du client. La maturité du client sur les questions de cyber-sécurité et l’existence d’une politique de sécurité pour l’entreprise, influencent grandement les demandes ».
Néanmoins, tous les éditeurs ne font pas preuve de la même transparence. Sur de nombreux clouds publics, les audits et plus particulièrement les tests d’intrusions sont interdits ou s’appliquent à des périmètres si limités qu’ils en perdent quasiment tout intérêt. Il reste la possibilité de transmettre des questionnaires spécifiques aux fournisseurs, de voir si ces solutions acceptent le défi des bug bounties et de contrôler leurs certifications.
De la même manière, chaque éditeur décide de ses propres règles de conformité. En dehors de quelques cas très spécifiques, il ne faut donc pas espérer qu’un prestataire rentre dans une démarche de normalisation suite à la demande d’un prospect potentiel. C’est donc à l’entreprise cliente de s’imposer ses niveaux de conformité lors du choix. Du coté des normes internationales il s’agit de l’ISO 27002, complétée par les normes 27002 et 27018 (pour l’aspect données personnelles, pouvant être enrichies par l’ISO 29100).
La norme ISO 27017, dédiée à la sécurité du cloud, est désormais réintégrée dans la norme ISO 2700. Il n’existe à ce jour pas de norme européenne spécifique.
Quelques labels proposés par des structures non gouvernementales, telles que Label Cloud (de France IT) ou Cloud Comfidence (de l’Association française éponyme), peuvent être des gages d’une démarche de qualité. L’Anssi souhaite aller plus loin : son référentiel de sécurité pour les offres de cloud computing, qui s’imposera certainement aux entreprises publiques et aux opérateurs d’importance vitale (OIV) français, est sur les rails. Ainsi, le référentiel Sec NumCloud « niveau essentiel » a été publié en décembre dernier dans sa version 3.0. Il sera prochainement complété par le « niveau avancé » pour les cas les plus exigeants. A ce jour, dans le domaine des éditeurs SaaS, seul Oodrive est en cours de certification avancée (offres iExtranet, Post Files, Boardnox), Orange étant en cours de certification au niveau essentiel pour son service de stockage. En voulant suivre Sec Num Cloud, le risque est donc de se retrouver devant une offre cloud extrêmement restreinte, limitée à des prestataires hexagonaux.
Rappelons qu’il est en particulier nécessaire que le contrat soit de droit français (tribunal compétent en France, que les données soient localisées exclusivement en Europe, tout comme le support de premier niveau francophone. Guillaume Poupard, directeur général de l’Anssi se veut rassurant « ce point n’est pas jugé particulièrement problématique par les prestataires non européens, car ils sont assez naturellement amenés a disposer de datacenters en Europe pour des questions de performance ».
Comme l’encourage Maitre Garance Mathias, « il faut systématiquement négocier un contrat ». Une indication de Service Level Agreement (SLA) n’est absolument pas suffisante. Et quand bien même elle existe, elle peut être dérisoire. Ainsi, dans le pire des cas, pour ses offres cloud, OVH ne remboursera que le montant de l’abonnement payé le mois en cours… Et les SLA chez Amazon AWS peuvent être encore plus défavorables ! On peut donc s’interroger sur les possibilités de négociation avec les Microsoft, Google, AWS et autres géants, y compris lorsqu’on est soi-même une entreprise de dimension internationale. Afin d’éviter ces pièges, « il est indispensable que les contrats soient relus par un professionnel du droit des systèmes d’information », ajoute Garance Mathias.
Les réglementations européennes et françaises sont en train de durcit considérablement les obligations des fournisseurs de cloud, mais aussi celles des entreprises clientes.
Le RGPD (règlement générale sur la protection des données) instaure une responsabilité partagée entre le responsable du traitement et le sous-traitant. L’une de ses dispositions impose notamment à l’entreprise de signaler les éventuelles fuites de données aux autorités compétentes : encore faut-il être capable de les détecter, à défaut d’avoir pu s’en prémunir.
Pour cela, Gartner préconise l’usage d’un CASB (Clous Access Security Broker), qui cumule quatre fonctions : visibilité sur l’usage des services ; conformité de ceux i avec les législations ; contrôle des données ; et protection contre les attaques. Le contrôle des données permet de restreindre l’accès aux éléments sensibles par la mise en place de politiques de sécurité renforcées. Pour obtenir un niveau de granularité satisfaisant, le CASB doit connaître les utilisateurs du service et donc être connecté au serveur d’authentification de l’entreprise ; Il va ensuite interroger les applications SaaS via des API spécifiques. Et là encore, d’un produit à l’autre, les différences d’intégration et les facilités de mises en œuvre sont nombreuses. Sans publier que quantité d’applications SaaS ne disposent pas encore d’API ou que celle-ci n’ont pas été prises en charge par les éditeurs de CASB – aucun standard n’existe encore pour l’instant. Ainsi, comme l’indique Joel Bentolila, Talensoft n’a pour l‘instant été contacté que par un seul fournisseur de broker, ce qu’au final n’a pas abouti.
Alain Bouillé s’interroge plutôt sur la pérennité des actuelles solutions : « Tous les grands éditeurs sont à l’affut de ces CASB. Compte tenu des importantes dynamiques de rachat dans le secteur, que se passera-t-il si la solution choisie est acquise par un tiers, puis intégrée à une offre plus complexe ou plus couteuse ? »
Les CASB deviendront probablement indispensables avec l’augmentation de la proportion d’applications dans le cloud (versus celles hébergées par les entreprises sur un cloud privé). En attendant cette situation, il est possible d’exploiter les fonctions de conformité ou de contrôle de données intégrées par de plus en plus d’application SaaS. Joel Bentolola recommande à cet égard d’utiliser le serveur d’authentification (IAM, pour Identity Access Management) interne de l’entreprise pur que celui-ci puisse contrôler facilement les accès au sein de l’application SaaS : « Pour lutter contre l’usurpation d’identité ; augmenter la sécurité des accès et faciliter l’authentification, il est vivement recommandé d’unifier les droits d’accès ».
Pour la mise en œuvre de solutions réellement efficaces, c‘est à l’entreprise cliente et non aux fournisseurs de se préoccuper de ces aspects.
De son coté, Charlotte Petyt, responsable produits chez Scalair (opérateur et architecte de cloud français, fait remarquer que l’on a tendance, à tort, à sous-estimer les problématiques de réversibilité : « que se passe-t-il si le service choisi n’est plus en mesure de fonctionner correctement à la suite d’une attaque par exemple, s’il cesse purement et simplement d’exister, ou si, simplement, on décide de rompre le contrat ? ». Pour répondre à ces questions, il faut définir un plan de reprise dès les prémices de l’externalisation, et prévoir la sauvegarde des données en dehors du périmètre du prestataire. Pour certaines implémentations IaaS ou PaaS, il faudra envisager la réplication d’un cloud vers un autre. La migration d’une application SaaS vers une concurrente risque en revanche de ne pas être une tâche facile. Ces questions doivent donc être envisagées avant la signature du contrat.
Pour que le cloud soit un environnement sûr pour l’entreprise, il est au final indispensable, comme as beaucoup de cas, que la direction générale soit largement impliquée dans le projet et, au minimum, que l’ensemble des directions (DSI, RSSI, juridique, métiers) soient soudées autour de ces questions.
Source : www.cesin.fr