10 avril 2018
– Lecture de 3 mn
Sébastien Grenier-Fontaine
Déployer des applications Saas sur Cloud Public est devenu très populaire chez certaines Directions Métiers en France. Tout ceci pourrait être amené à changer avec la nouvelle directive Européenne (GDPR) sur la protection des données personnelles qui entrera en vigueur en 2018. En effet cette réglementation exige une très forte gouvernance des fournisseurs hébergeant ces données. Le risque de recevoir une pénalité de 4% de son chiffre d’affaire mondial en cas de non-conformité pourrait donc inciter certaines Entreprises à demander à leur DSI de reprendre l’initiative.
Ce n’est donc pas un hasard de calendrier si l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) a créé conjointement avec son homologue allemand (BSI) un nouveau label nommé European Secure Cloud (ESCloud). Une première version du référentiel des exigences a été publiée en décembre 2016. Elles couvrent les aspects suivants :
- Mener une politique de sécurité en regard d’analyse de risques. Celle-ci devant être faite périodiquement pour une même application.
- Avoir un responsable de sécurité de l’information, un responsable de la donnée personnelle et un responsable de la sécurité physique de ses installations.
- Avoir un plan de sensibilisation à la sécurité au niveau ressources humaines : charte éthique, formation, gestion et capitalisation de la connaissance.
- Avoir une politique de contrôle et droits d’accès pour ses bâtiments et certaines zones plus sensibles.
- Avoir une cartographie de son SI au niveau infrastructure à jour.
- Encrypter les données sensibles et chiffrer les flux. Hacher les mots de passes pour ne pas qu’ils soient accessible en clair.
- Avoir une politique de sécurité pour prévenir et surveiller les failles: journaux d’évènements horodatés, analyse du code source si possible, tests d’intrusion fréquents, …
- Avoir une politique de gestion des incidents de sécurité y compris de manière préventive.
- Avoir une convention et un respect des engagements avec les sous-traitants participants à la mise en œuvre du service.
- Garantir une localisation, un traitement des données et une gestion des opérations du datacenter au sein de l’Union Européenne.
- Autoriser un organisme certifié par l’ANSSI à venir l’auditer et vérifier le respect de ses exigences.
Pour ceux qui douteraient de l’importance d’avoir un fournisseur de confiance, voici quelques chiffres 1 :
- 81% des entreprises françaises se sont dit victimes d’une cyberattaque en 2015.
- Se remettre d’une violation de sécurité coûte en moyenne 800 000€.
- 9 semaines sont nécessaires en moyenne pour corriger une faille de sécurité.
- 35% des incidents de sécurité auraient été généré (parfois malgré eux) par les collaborateurs de l’hébergeur de ces données.
La plupart de ces exigences étaient déjà incluses dans les principales normes de sécurité reconnues par le marché : ISO-27001, SOC1, SOC2, CSA-CSM. L’effort à fournir pour obtenir ce label (GDPR) est donc faible pour les fournisseurs qui avaient déjà obtenu les principales certifications. C’est cependant une bonne chose d’avoir créé un label Européen pour rassurer les entreprises du vieux continent. En effet, que veulent les Directions Générales et les DSI ? Avoir l’engagement que le fournisseur de l’hébergement pourra assurer la sécurité de leurs données et que celles-ci ne vont pas se retrouver aux mains d’un concurrent, d’un gouvernement étranger ou d’une organisation malveillante. Ces entreprises veulent maîtriser le droit d’accès à ces données et ont besoin de partenaires qui accepteront d’être transparents et de partager la responsabilité de conformité sur la protection des données.
Au moment où nous rédigeons ces lignes, seuls 3 fournisseurs de services cloud ont fait la demande du label. Cependant il est fort à parier que tous les principaux acteurs du marché tenteront à moyen terme de décrocher ce précieux Graal qui leur facilitera l’accès au marché des entreprises européennes. Les entreprises françaises utilisaient jusqu’à maintenant très peu le Cloud et principalement pour du stockage ou des services de messagerie en mode SaaS. La plupart d’entre elles mettaient en avant les risques liés à la sécurité comme frein à son utilisation. L’obtention de ce nouveau label Européen est donc un pas en avant pour permettre de gagner la confiance des décideurs.
Pour conclure, il est fort à parier que nous devrions observer une hausse de part de marché des offres IaaS et PaaS sur Cloud Privé et voir une baisse de celui sur Saas déployé sur Cloud Public. Les DSI n’ont plus d’autre choix que de reprendre le contrôle de ces environnements. La part de « Shadow IT » dans les entreprises devraient donc diminuer aussi significativement. Le risque de recevoir une pénalité de la CNIL étant trop grand en cas de non-conformité à la GDPR.
1 : D’après l’article « Cybersécurité : Cinq chiffres clés à connaître »