Dans ce troisième volet du tour d’horizon des normes, standards et labels en matière de sécurité dans le cloud, je vous propose une étape finale « France », avec l’état d’avancement de quelques initiatives majeures en cours de développement.
Pour illustrer l’étendu et la variété des domaines et sujets traités dans ces initiatives, cette infographie (extraite d’un des documents cités en référence) en donne un aperçu limité aux cinquante termes les plus utilisés.
Vers un référentiel d’exigences pour les entités publiques.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information ) en charge de cette mission vient de clôturer un appel à commentaires autour d’une version initiale de ses exigences pour les prestataires de services d’informatique en nuage qui fournissent une externalisation du stockage et du traitement des données de tous les types d’entités (administrations, collectivités territoriales, opérateurs d’importance vitale, entreprises, etc.).
Cette initiative répond à la nécessité pour les pouvoirs publics de préciser leurs exigences pour le déploiement des services Cloud pour les entités publiques, dans le périmètre des fonctions régaliennes de l’Etat, et en fonction des risques et de la nature des informations qu'elles traitent.
Les principaux objectifs du référentiel sont :
• Lister les exigences et recommandations que les prestataires qualifiés proposant une offre sécurisée de service d’informatique en nuage doivent respecter.
• Permettre la qualification des prestataires proposant une offre de services d’informatique en nuage.
• Permettre au client de disposer de garanties sur la compétence du prestataire, sur la qualité des services qu’il fournit, et sur la confiance qu’il peut lui accorder avant de lui confier des données.
• De façon annexe, Il peut être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire, pour la mise en nuage des données de tous les types d’entités.
• Les prestataires doivent respecter les règles générales qui leur sont imposées en leur qualité de professionnel, notamment celles concernant leur devoir de conseil vis-à-vis de leurs clients, ainsi que la législation nationale.
• Permettre la qualification des prestataires proposant une offre de services d’informatique en nuage.
• Permettre au client de disposer de garanties sur la compétence du prestataire, sur la qualité des services qu’il fournit, et sur la confiance qu’il peut lui accorder avant de lui confier des données.
• De façon annexe, Il peut être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire, pour la mise en nuage des données de tous les types d’entités.
• Les prestataires doivent respecter les règles générales qui leur sont imposées en leur qualité de professionnel, notamment celles concernant leur devoir de conseil vis-à-vis de leurs clients, ainsi que la législation nationale.
Vers une labélisation dans le domaine privé.
La confiance constitue l’un des éléments majeurs dans l’adoption des technologies numériques, notamment celles liées au Cloud computing, et l’émergence de labels dédiés est une première réponse portée par une des initiatives du plan de la nouvelle France industrielle, et résumée ci-dessous selon les termes du rapport de cette initiative.Label « Secure Cloud »
Afin d’établir durablement cette confiance, il convient donc de favoriser l’émergence d’une offre qui se différencie notamment par la qualité et par la transparence : la définition d’une classe de services labellisée « Secure Cloud » constituerait un atout dans cette perspective.
Ceci pourrait se faire en lien avec les travaux du « European Cloud Partnership» (ECP) et ceux de l’ANSSI en France, sur la base de recommandations contractuelles de « Service Level Agreements » (SLAs) complétées par des possibilités de contrôle effectif de l’application des règles de sécurité et des bonnes pratiques. Les services concernés seraient l’ensemble des services cloud : infrastructures, plateformes et logiciels.
Les opérateurs « Secure Cloud » proposeraient donc un référentiel de conditions contractuelles types (chacune avec plusieurs options), exprimées de façon simple, touchant notamment les domaines suivants:
- Sécurité : protection des données personnelles, sécurité de fonctionnement ;
- Accès au service : disponibilité, gestion des incidents, reporting, portabilité des données,réversibilité ;
- Confiance : auditabilité, certifications, exigences réglementaires, pénalités ;
- Localisation des données et de leur traitement : sauf exception approuvée par le client, garantie d’hébergement physique des infrastructures et des données (y compris pour leur traitement) dans une zone de confiance formée par les pays adhérant aux recommandations du European Cloud Partnership (« opt-in » pour les pays).
Cette labellisation serait naturellement ouverte à tous les opérateurs mettant effectivement en œuvre ces bonnes pratiques, y compris en matière de localisation des données et de leur traitement, et ceci sans aucune distinction de nationalité…….
Vers une convergence public / privé ?
En effet, l’ANSSI rappelle également que ses objectifs sont la recherche d’une convergence entre leur référentiel et le label « Secure Cloud » créé dans le cadre du plan « Cloud computing » de la Nouvelle France industrielle.
Ce point est clé, car l’essor du Cloud est bénéfique aux organisations de toute taille et de tous les secteurs, donc il convient de rationaliser ce qui s’apparente aujourd’hui encore à une multiplicité de référentiels, dont l’émergence pourrait faire peser des charges importantes pour les acteurs du domaine, alors que la concurrence internationale est forte et ce marché « France » en phase de maturation. Cette convergence globale « France » devrait également s’inscrire dans la dimension « Europe » portée par la création d’un marché intégré du numérique.
La sécurité, la confidentialité et la conformité aux normes sont assurément des responsabilités partagées entre tous les acteurs du Cloud et déterminantes pour porter la croissance de ce marché, en France.
Aucun commentaire:
Enregistrer un commentaire