L’ANSSI renforce la sécurité du Cloud

ANSSI renforce la sécurité du Cloud

Les acteurs français seraient-ils réfractaires au changement ? Seules 11% des entreprises françaises de plus de dix salariés ont acquis des services Cloud en 2014 contre 19% en Europe selon une étude Eurostat de décembre 2014. La raison principale mise en exergue est la sécurité des données. En effet, le fait d’externaliser tout ou partie de son infrastructure, application et données dans un centre d’hébergement externe administré par un prestataire est le signe d’une perte de contrôle. Les récentes cyber-attaques contre certaines banques ou Sony montrent que le risque est réel.

C’est dans l’optique de mieux maîtriser la migration vers le Cloud que l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) monte au créneau.

L’ANSSI veut que les prestataires de Cloud soient des partenaires de confiance.

La montée des cyber-attaques et leurs conséquences sur le business des entreprises est un fléau que l’ANSSI veut endiguer. Cette agence, dépendant du Premier Ministre, va mettre en place un processus qui aura pour but de labéliser les fournisseurs de Cloud français. En répondant à des normes de sécurité strictes, ce label sera une garantie de l’Etat sur le respect des bonnes pratiques de sécurisation des données.

Deux niveaux de qualification seront proposés : Cloud Secure et Cloud Secure +.

Le premier concerne l’application des bonnes pratiques de sécurité définies par l’ANSSI (contrôles d’accès physiques, authentification forte avec mots de passe hachés et salés, chiffrement logiciel et hébergement des données en Europe,…)
Le second niveau ira plus loin en imposant une authentification multi-facteur, un chiffrement matériel (via HSM) ou encore un hébergement en France

Objectif : la protection des opérateurs d’importance vitale.

L’ANSSI se devait également de réagir à la conjoncture et la menace terroriste. Afin de mieux gérer le risque d’une attaque, les opérateurs d’importance vitale (OIV) – SNCF, Orange, EDF,… – devront faire appel à un prestataire labellisé pour stocker leurs données. Cette action vient en réponse à la loi de programmation militaire de 2013 qui vise à renforcer la défense nationale et la sécurité.

En attendant, comment améliorer sa sécurité ?

Le processus de labellisation est encore à ses prémisses et peu de structures sont concernées à l’heure actuelle. Seuls 8 acteurs français ont entamé le processus de qualification ce qui ne veut pas dire que les autres hébergeurs et infogéreurs sont démunis face aux risques informatiques.

Vérifier et labéliser les fournisseurs d’hébergement et Cloud c’est bien, mais les entreprises ont aussi leur part de responsabilité par rapport à la sécurité de leurs applications et leurs données.

Etant donne que la principale porte d’entrée pour les attaquants soit les failles de sécurité en 53% des attaques avec succès (source Forester). L’objectif premier doit être l’audit et la gestion de ces vulnérabilités.

SecludIT est entrain de révolutionner ce marché grâce à sa technologie brevetée Elastic Detector. Pour répondre à la croissance des vulnérabilités (18 nouvelles par jour en moyenne en 2015), cette solution de sécurisation va scanner en continu et de façon automatique l’infrastructure de ses clients. Il s’agit ici de favoriser la prévention pour se prémunir des failles de sécurité. Cette démarche s’inscrit dans sa volonté de s’imposer comme un partenaire de confiance en s’appuyant sur les recommandations de l’ANSSI.

Sources :

http://www.silicon.fr/etat-francais-ertifier-cloud-confiance-151458.html

http://www.nextinpact.com/news/93636-lanssi-detaille-obligations-securite-operateurs-dinfrastructure-vitale.htm

http://www.ssi.gouv.fr/

http://www.usine-digitale.fr/article/cybersecurite-et-si-le-cloud-etait-la-solution.N354074

Leave a Reply