GAFAnomics ou "Les quatre Fantastiques"

Je souhaite partager avec vous une récente restitution de l'étude réalisée par Fabernovel sur le sujet des GAFA, lors d'une présentation effectuée le 17 décembre à CAP DIGITAL.

 

https://www.facebook.com/Recyclerie.Toucy/

Sécurité dans le Cloud : Pour une France dans la confiance et la croissance.

Dans ce troisième volet du tour d’horizon des normes, standards et labels en matière de sécurité dans le cloud, je vous propose une étape finale  « France », avec l’état d’avancement de quelques initiatives majeures en cours de développement.

Pour illustrer l’étendu et la variété des domaines et sujets traités dans ces initiatives, cette infographie (extraite d’un des documents cités en référence) en  donne un aperçu limité aux cinquante termes les plus utilisés. 

Vers un référentiel d’exigences pour les entités publiques.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information ) en charge de cette mission vient de clôturer un appel à commentaires autour d’une version initiale de ses exigences pour les prestataires de services d’informatique en nuage qui fournissent une externalisation du stockage et du traitement des données de tous les types d’entités (administrations, collectivités territoriales, opérateurs d’importance vitale, entreprises, etc.).

Cette étape doit être suivie par une phase expérimentale et enfin la délivrance d’accréditations pour les prestataires de services répondant aux critères du référentiel finalisé.

Cette initiative répond à la nécessité pour les pouvoirs publics de préciser leurs exigences pour le déploiement des services Cloud pour les entités publiques, dans le périmètre des fonctions régaliennes de l’Etat, et en fonction des risques et de la nature des informations qu'elles traitent.

Les principaux objectifs du référentiel sont :

• Lister les exigences et recommandations que les prestataires qualifiés proposant une offre sécurisée de service d’informatique en nuage doivent respecter.

• Permettre la qualification des prestataires proposant une offre de services d’informatique en nuage.

• Permettre au client de disposer de garanties sur la compétence du prestataire, sur la qualité des services qu’il fournit, et sur la confiance qu’il peut lui accorder avant de lui confier des données.

• De façon annexe, Il peut être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire, pour la mise en nuage des données de tous les types d’entités.

• Les prestataires doivent respecter les règles générales qui leur sont imposées en leur qualité de professionnel, notamment celles concernant leur devoir de conseil vis-à-vis de leurs clients, ainsi que la législation nationale. 

Vers une labélisation dans le domaine privé.

La confiance constitue l’un des éléments majeurs dans l’adoption des technologies numériques, notamment celles liées au Cloud computing, et l’émergence de labels dédiés est une première réponse portée par une des initiatives du plan de la nouvelle France industrielle, et résumée ci-dessous selon les termes du rapport de cette initiative.

Label « Secure Cloud »

Afin d’établir durablement cette confiance, il convient donc de favoriser l’émergence d’une offre qui se différencie notamment par la qualité et par la transparence : la définition d’une classe de services labellisée « Secure Cloud » constituerait un atout dans cette perspective. 

Ceci pourrait se faire en lien avec les travaux du « European Cloud Partnership» (ECP) et ceux de l’ANSSI en France, sur la base de recommandations contractuelles de « Service Level Agreements » (SLAs) complétées par des possibilités de contrôle effectif de l’application des règles de sécurité et des bonnes pratiques. Les services concernés seraient l’ensemble des services cloud : infrastructures, plateformes et logiciels.

Les opérateurs « Secure Cloud » proposeraient donc un référentiel de conditions contractuelles types (chacune avec plusieurs options), exprimées de façon simple, touchant notamment les domaines suivants:

• Sécurité : protection des données personnelles, sécurité de fonctionnement ;
• Accès au service : disponibilité, gestion des incidents, reporting, portabilité des données,réversibilité ;
• Confiance : auditabilité, certifications, exigences réglementaires, pénalités ;
• Localisation des données et de leur traitement : sauf exception approuvée par le client, garantie d’hébergement physique des infrastructures et des données (y compris pour leur traitement) dans une zone de confiance formée par les pays adhérant aux recommandations du European Cloud Partnership (« opt-in » pour les pays).

Cette labellisation serait naturellement ouverte à tous les opérateurs mettant effectivement en œuvre ces bonnes pratiques, y compris en matière de localisation des données et de leur traitement, et ceci sans aucune distinction de nationalité…….

Vers une convergence public / privé ?

En effet, l’ANSSI  rappelle également que ses objectifs sont la recherche d’une convergence entre leur référentiel et le label « Secure Cloud » créé dans le cadre du plan « Cloud computing » de la Nouvelle France industrielle. 

Ce point est clé, car l’essor du Cloud est bénéfique aux organisations de toute taille et de tous les secteurs, donc il convient de rationaliser ce qui s’apparente aujourd’hui encore à une multiplicité de référentiels, dont l’émergence pourrait faire peser des charges importantes pour les acteurs du domaine, alors que la concurrence internationale est forte et ce marché « France » en phase de maturation. Cette convergence globale « France » devrait également s’inscrire dans la dimension « Europe »  portée par la création d’un marché intégré du numérique. 

La sécurité, la confidentialité et la conformité aux normes sont assurément des responsabilités partagées entre tous les acteurs du Cloud et déterminantes pour porter la croissance de ce marché, en France.

Sécurité dans le Cloud : L’Europe se mobilise.

Au-delà des premières normes internationales annoncées en 2014 et rappelées dans mon précédent billet «première norme internationale », l’Europe a de son côté déjà engagé différentes initiatives pour assurer la couverture de ces besoins spécifiques.


2014 sera donc la concrétisation des premières briques de cette construction communautaire, que je vous propose de parcourir au travers de quelques initiatives majeures.

Définition de la stratégie Cloud pour l’Europe. 

La première étape de cette mobilisation s’est concrétisée en 2012 par la définition d’une stratégie « Cloud » à l’échelon européen et sa représentation dans le document intitulé « Unleashing the Potential of Cloud Computing in Europe » de la Commission Européenne.

Parmi les objectifs de cette stratégie cloud figurent notamment les aspects de sécurité via les étapes suivantes :

• Recensement des différents standards et normes applicables au cloud computing, via l’institut ETSI , et publication d’un rapport en novembre 2013, intitulé « Cloud Standards Coordination »

• Développement avec le support de l’ENISA  « European Union Agency for Network and Information Security »  d’un meta-cadre de certification cloud, applicable à l’Europe, et publié en Novembre 2014 dans le document « Cloud Certification Schemes Metaframework»

Ce document fournit le contexte de la première version d’un cadre de certification. La portée de cette version est encore limitée aux exigences de sécurité des réseaux et de l'information génériques, via la définition de 27 objectifs de sécurité, et comprend également une correspondance avec les normes internationales :  ISO 27001 et  ISO 27018.

Vers un « Trusted Cloud Europe» 

Plus concrètement et au-delà de l’effort autour des standards et des normes, l’initiative « Trusted Cloud Europe » a été développée via l’ « European Cloud Partnership » (ECP) afin de proposer des directives pour aider les organisations publiques et privées en Europe qui achètent et vendent des services de cloud computing à les réaliser dans un environnement sûr et de confiance.

2014 a ainsi vu la publication du premier rapport définissant le cadre politique d’un « Trusted Cloud Europe » dans un document intitulé «Establishing a TrustedCloud Europe »,  en support des meilleures pratiques associées dont celles autour de la sécurité.

La représentation suivante du cadre de référence permet d’en apprécier les contours et les aspects propres à l’Europe (alignement des législations et des politiques,…).

Avec le soutien de ce nouveau cadre de confiance, l’objectif déclaré est ‘la stimulation du marché « cloud » européen ainsi que la création d'une nouvelle croissance et d’une position de leadership numérique pour les citoyens, les entreprises et les administrations publiques européennes’.

L’atteinte de cet objectif sera bien sur dépendant de l’accueil et de l’adhésion de l’écosystème « Cloud européen » face à cette initiative « Trusted Cloud Europe ».

Sécurité dans le Cloud : première Norme Internationale !

De nombreuses normes sont déjà disponibles en matière de sécurité de l’information. Elles permettaient déjà aux fournisseurs de services Cloud qui les respectaient d’apporter un certain niveau de garanties.

Depuis Août 2014,  la disponibilité de la nouvelle norme ISO 27018 qui porte sur le traitement des données personnelles dans le Cloud, devrait apporter un véritable atout différenciateur pour les fournisseurs de services Cloud qui s’engageront à s’y conformer.

Cette information a néanmoins été peu médiatisée, malgré son impact pour l’ensemble des utilisateurs de services cloud, d’où l’intérêt de parcourir cette rapide synthèse que je vous propose.

Les objectifs poursuivis par cette normalisation.

L’Organisation Internationale de Normalisation (ISO) a donc adopté cet été la nouvelle norme « ISO/IEC 27018:2014 » intitulée : «  Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII ». Cette norme ISO définit un cadre de référence internationale pour le respect par les fournisseurs de services de Cloud d’un certain nombre de dispositions concernant les données personnelles qui transitent via leurs services.

Elle s’insère dans le prolongement des normes actuelles en matière de sécurité de l’information, comme  les normes ISO 27001 et ISO 27002 qui permettent déjà d’identifier les risques de sécurité associés aux systèmes d’information classiques et de mettre en œuvre les mesures nécessaires pour les gérer (par exemple la sécurisation des bureaux et des installations, les contrôles d’accès, la gestion des incidents, la continuité des opérations, etc.).

La norme ISO 27018 est quant à elle spécialement adaptée aux services Cloud et constitue une première mondiale pour la protection des données personnelles dans le Cloud. Elle augmente donc le nombre des contrôles prévus déjà par la norme ISO 27002, constituant ainsi l’ « état de l’art » en la matière.

Des apports majeurs pour l’utilisateur du Cloud public.

Les fournisseurs de services qui sont certifiés selon la norme ISO 27018 doivent démontrer qu'ils ont mis en place ou mis en œuvre (entre autres):

• Consentement : les fournisseurs de services Cloud s’engagent à ne pas traiter les données personnelles des clients à des fins publicitaires ou de marketing, sauf avec le consentement explicite et préalable de ceux-ci, étant entendu que ce consentement ne saurait conditionner la prestation de services.
• Intégrité : les fournisseurs de services Cloud s’engagent, en cas de failles de sécurité affectant les données utilisateur à en informer l’utilisateur et les autorités et à aider les utilisateurs à se conformer à leurs propres obligations d’information; ils s’engagent également à ne pas divulguer d’informations aux autorités nationales sauf lorsqu’ils y sont tenus par la réglementation applicable et, dans ce cas, à en informer l’utilisateur, sauf interdiction légale.
• Transparence : les fournisseurs de services Cloud doivent informer leurs utilisateurs sur le lieu de stockage des données qui transitent via le Cloud ainsi que sur l’identité des éventuels sous-traitants appelés à traiter les données lors de la conclusion du contrat de Cloud ; ils s’engagent enfin à prendre des engagements clairs sur la manière dont les données sont traitées.
• Cycle de vie des données : ils s’engagent également à mettre en œuvre une procédure en matière de transfert ou de destruction des données personnelles, à l’issue du contrat.
• Confidentialité des données : les fournisseurs de Cloud s’engagent à conclure des accords de confidentialité avec les membres du personnel qui ont accès aux données personnelles et à leur fournir toute la formation requise.  
• Auditabilité : enfin la conformité à la norme ISO 27018 peut être contrôlée et certifiée par un auditeur qualifié, permettant ainsi à l’utilisateur de valider la conformité du traitement à la réglementation de protection des données personnelles.

Des acteurs Cloud appelés à évoluer… 

A ce jour, les principaux acteurs du Cloud aux États-Unis et en Europe ont déjà annoncé leur intention d’obtenir cette norme dans leurs objectifs de certification pour leurs principaux services Cloud.

On suivra avec intérêt l’évolution de cette tendance car il est certain que cette nouvelle norme ISO 27018 deviendra un véritable élément de différenciation en matière de sécurité et de confidentialité des données personnelles dans le Cloud.

On notera enfin que la future norme ISO 27017 disponible fin 2015 complétera ce nouveau dispositif sécurité ISO en fournissant des conseils autour de la sécurité cloud, comme évoqué dans son intitulé : « Code de pratiques pour les contrôles de sécurité de l'information basés sur la norme ISO / IEC 27002 pour les services de cloud computing ».

Connaissance et Confiance sont les deux clés du Cloud Computing.

Une récente étude d’Eurostat, (Cloud computing - statistics on the use by enterprises), a clairement identifié deux freins majeurs à l’utilisation plus généralisée du cloud computing en Europe, selon la typologie des entreprises et le niveau d’usage actuel des services cloud.

1)      Les risques liés à la sécurité sont le principal facteur limitant une plus grande utilisation du cloud, notamment pour les grandes entreprises.  Pour ces dernières, les deux autres facteurs majeurs sont autour de la législation et localisation des données.

Source: Eurostat

2)      Le manque de connaissance est le principal obstacle à l’utilisation du cloud dans les entreprises de l’UE   n’utilisant pas encore le cloud.  Les deux autres facteurs majeurs sont autour de la sécurité et localisation des données.

 

Source: Eurostat

 Des actions publiques

Ces deux obstacles sont intimement liés, car il ne peut y avoir de développement de ces nouveaux services cloud sans une transparence de la part des fournisseurs de services cloud et une plus grande confiance de la part des utilisateurs actuels ou potentiels.

Pour atteindre cet objectif, de nombreuses initiatives ont vu le jour dans le domaine des normes, labels et certifications cloud, afin de lever ces obstacles et rendre plus lisible les services fournis pour les utilisateurs.

Ayant précédemment développé ce thème au niveau de la normalisation internationale (blog : norme ISO 27018) , des actions européennes (blog : Trusted cloud, Framework) , et des initiatives françaises ( blog :  Secure cloud, ANSSI), je vous invite à les consulter pour un tour d’horizon plus détaillé.

Des actions privées

En complément des initiatives publiques, un mouvement récent du domaine privé a été lancé cette semaine via la création de l’association « Cloud Confidence » , dont l’objectif est de mettre à disposition des prestataires cloud et des clients un cadre de transparence sur la protection des données clients. 

L’association est structurée autour de trois collèges, un collège prestataires cloud, un collège clients et un collège consultants et écosystèmes, et a pour objet :

• De fédérer les acteurs français et européens de la filière Cloud autour de la question de la protection des données clients et des données stratégiques de l’entreprise,
• De sensibiliser le marché IT sur la législation sur la protection des données clients et des données stratégiques de l’entreprise,
• De mettre en œuvre un cadre de référence permettant aux sociétés utilisatrices IT de connaître la législation dans le cadre de l’usage de solutions Cloud,
• De publier un cadre de certification reposant sur le cadre légal Européen,
• De fédérer des commissions autour des sujets sur la sécurité des solutions Cloud.

Lors du lancement de cette association, les premières certifications ont été annoncées pour deux entreprises ayant passé avec succès un audit de leurs services cloud.

Cette initiative naissante ne peux qu’être encouragée afin d’accélérer la transparence des services et surtout la confiance des utilisateurs présents ou futurs dans les services cloud,  notamment via cette aproche pragmatique et collégiale autour des prestataires et des utilisateurs.

De l"Open Source Week" vers une Semaine de l' Open Innovation ?

A partir du 30 octobre, Paris est devenu pour une grande semaine la capitale des technologies "Open Source". Ayant eu l'opportunité de participer à ces quatre événements, je souhaitais partager quelques impressions sur cette concentration unique en terme de technologies Open, d'agenda et de lieu.  

Cette semaine "Open Source Week" a réuni quatre événements focalisés sur les technologies open source prêtes pour le marché, l'état de l'art des matériels et logiciels libres, de bonnes pratiques et des opportunités de rencontres conviviales lors des événements suivants: 

1. Open World Forum (www.openworldforum.paris), sur le thème  « Reprenez le contrôle de votre informatique et de votre vie numérique ! » ,  dédié aux principaux acteurs de l'open source.
   
2. Open Compute EU Summit 2014 (aka OCP)(http://www.opencompute.org/community/events/summit/ocp-european-summit-30-31-october-2014?new), à l'Ecole Polytechnique. L'Open Compute Project est un projet 'matériel ouvert' dont l'objectif est de développer des serveurs et centres de données suivant le modèle traditionnellement associé à des projets de logiciels open source .
   
3. OW2con’14 (http://www.ow2.org/view/OW2con-2014), au Palais des Congrès  à Orange Labs, sur le thème 'Exploitez l'écosystème Open Source mondial', avec la communauté OW2.
   
4.  OpenStack Summit Paris (www.openstack.org/summit/openstack-paris-summit-2014/), au Palais des Congrès. Cette conférence a regroupé tout l'écosystème internationale des infrastructures cloud OpenStack. 

Ma visite auprès de ces 4 événements a confirmé la dynamique et complémentarité entre toutes ces approches basées sur  l'Open Source'. 

Pour exemple coté logiciel, l'OWF a mis en avant les derniers développements autour des technologies 'Docker' et du projet Atomic, de son coté  l'OpenStack Summit a présenté plusieurs projets autour de l'intégration de Docker en tant que technologie complémentaire de déploiement d'images dans le framework OpenStack. 

Dans le domaine de l'infrastructure technique, l'Open Compute Project (OCP) a présenté la dernière version de son design OCS v2 et via la présentation de Rackspace, l'illustration de la complémentarité entre l'OCP & OpenStack.

La France est l'un des premiers pays à adopter et à contribuer aux logiciels open source. Le marché Français des logiciels open source atteindra 4 milliards d'Euros en 2014, dont près d'un tiers sont concentrés en Région Parisienne. Plus de 100 acteurs open source, open hardware et open data exercent des activités dans Paris et sa région. 

   

Vu le succès remporté par cette organisation "Open Source Week Paris 2014" autour de quatre événements séparés, et pour fédérer cette dynamique on pourrait souhaiter en 2015 une nouvelle et grande semaine étendue autour d'une synergie des OPENs numériques, regroupant par exemple les concepts d'Open Source, Open Data, Open Platform, Open Cloud,.. dans un thème fédérateur comme: "Open Innovation Paris 2015".