Quels référentiels pour traiter le sujet de la sécurité dans le cadre de projets cloud ? Ce fut, à l’été 2020, l’objet d’une publication du Clusif. Sur vingt-trois documents listés, deux avaient obtenu la note maximale de 5 étoiles, en tant qu’« incontournables ». Dans la catégorie 4 étoiles, on en trouvait quatre.
L’essentiel de ces six documents sont toujours d’actualité dans leur version évaluée par le Clusif. À commencer par les deux notés 5 étoiles.
D’un côté, un document en anglais accessible gratuitement. Son émetteur : la Cloud Security Alliance. Son intitulé : « Security Guidance for Critical Areas of Focus in Cloud Computing ». Il s’agit de la version 4.0, datée de juillet 2017.
Le Clusif en a particulièrement apprécié trois aspects : modélisation et cartographie, architecture et conception, expertises en cybersécurité. Mais le document balaye aussi les questions de :
– Gouvernance
– Intégration et déploiement
– Relation avec les tiers / externalisation des services
– Management du risque et classification
– Maintien en condition de cybersécurité
Le document propose une « vision juridique intéressante et complète, notamment en ce qui concerne le droit international », nous explique-t-on. Il a, en revanche, « parfois un peu trop l’allure d’un catalogue » et « n’établit pas de lien entre les différentes notions abordées ». En outre, la partie GRC « se limite parfois à un résumé des références du NIST ». Ce qui n’empêche qu’on tient là un référentiel « utile lors de la sélection d’un prestataire cloud nécessitant un très haut niveau de sécurité ainsi que pour tout prestataire souhaitant obtenir une certification ».
L’autre document crédité de la note maximale, c’est l’ISO 27005. Plus précisément sa dernière version, datée de juillet 2018. Disponible en français et en accès payant, le document contient des lignes directrices en matière de gestion des risques liés à la sécurité de l’information. Elles appuient les concepts énoncés dans l’ISO 27001.
Le Clusif émet le même commentaire d’ensemble que pour le document précédent. Il crédite l’ISO de 5 étoiles sur l’essentiel des aspects abordés. En l’occurrence, gouvernance, expertises en cybersécurité, management du risque et classification, maintien en condition de cybersécurité. Et de saluer une approche « suffisamment générique pour s’adapter au contexte auquel on souhaite la mettre en application ».
Dans la catégorie « 4 étoiles » figure une autre publication de la Cloud Security Alliance. Nommément, le CAIQ (Consensus Assessments Initiative Questionnaire).
Le Clusif a évalué la version 3.1, d’avril 2020. Depuis, la version 4 est sortie (juin 2021). À cette occasion, le document a fusionné avec la CCM (Cloud Controls Matrix), dont il constituait la mise en application sous forme de questionnaire.
Diffusé au format Excel, le CAIQ couvre les mêmes domaines que la Security Guidance (voir plus haut), sur laquelle il s’aligne. Il comprend environ 300 questions, en application de quelque 200 contrôles.
Le Clusif a particulièrement apprécié le traitement de l’aspect contractuel. Il estime qu’il s’agit d’une « excellente matrice, d’une grande complétude qui peut servir de base structurante pour l’externalisation cloud ». Non sans souligner que sa lecture « nécessite une certaine maturité et expertise […] sur les aspects normatifs et architecturaux ».
Deux documents de l’ANSSI héritent de 4 étoiles. Parmi eux, le référentiel d’exigences SecNumCloud. Le Clusif a évalué la version 3.1, datée de juin 2018. Et a tiré la même conclusion d’ensemble que pour les deux documents notés 5 étoiles. En distinguant, en particulier, le traitement de l’aspect contractuel, comme pour le CAIQ. Depuis, la version 3.2 est sortie (en mars 2022 ; voir notre article « SecNumCloud : ce que l’ANSSI a changé après consultation »).
L’autre document ANSSI date de décembre 2010. Il s’agit d’un guide externalisation, titré « Maîtriser les risques de l’infogérance ». On y trouve des bases d’exigences SSI à utiliser lors de la rédaction de cahiers des charges.
Retour en anglais avec un document du Bank Policy Institute. Initialement dédié au monde financier, mais applicable à d’autres secteurs d’activité. Sa dernière révision date de 2010. Il s’agit du « BITS Framework for managing technology risk for service provider relationships ».
Le Clusif y voit un guide « très généraliste qui liste de manière quasi exhaustive l’ensemble des questions à se poser pour une externalisation ». Le document ne « traite pas spécifiquement de sécurité, mais utilise plutôt une approche théorique par les bonnes pratiques ».
Ont également droit à 4 étoiles, l’ISO 27001 et l’ISO 27002. La première pose des exigences pour la mise en place de systèmes de management de la sécurité de l’information au sein d’une organisation. La deuxième permet de sélectionner les mesures nécessaires dans le cadre de ces mises en place.
Concernant l’ISO 27001, le Clusif attribue 5 étoiles pour l’ensemble des aspects couverts. À savoir gouvernance, management du risque et classification, maintien en condition de cybersécurité. Un « document de référence […] mais difficile à appliquer au cloud sans des ressources spécifiques », précise-t-il.
Photo d’illustration © alice_photo – Adobe Stock
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…
Comme avant la Coupe du monde de rugby, l'ANSSI dresse un état des lieux de…