Le magazine > Sécurité des systèmes d’information sensibles : les recommandations de l’ANSSI

La sécurité des systèmes d’information (SI) est cruciale pour la protection des données sensibles, qu’elles soient de nature publique ou privée. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a établi des recommandations spécifiques pour l’hébergement des SI dans le cloud, en fonction de leur sensibilité et de la nature des menaces auxquelles ils sont exposés. Cet article présente ces recommandations et les critères à prendre en compte pour assurer une sécurité optimale.

Les outils nécessaires à l’application des recommandations

Les recommandations de l’ANSSI reposent sur trois éléments clés :

  1. La typologie des offres cloud
  2. La typologie des menaces
  3. La nature des systèmes d’information

1. La typologie des offres cloud selon l’ANSSI

La typologie des offres cloud est essentielle pour déterminer le niveau de sécurité requis. Les offres peuvent être commerciales (publiques, privées, communautaires) ou non commerciales (internes, communautaires).

Offres cloud commerciales

  1. Publique : Cette offre est mutualisée pour l’ensemble des clients de l’offre. Elle permet une grande flexibilité et évolutivité, mais peut présenter des risques en termes de sécurité et de confidentialité des données en raison de la mutualisation des ressources.
  2. Privée : L’offre cloud privée est dédiée à une seule entité, offrant des ressources (processeur, espace de stockage) qui sont physiquement dédiées à l’entité en question. Cela permet un contrôle accru sur la sécurité et la gestion des données, mais peut être plus coûteux que les solutions mutualisées.
  3. Communautaire : Ce type d’offre cloud est déployé pour répondre aux besoins d’un groupe d’entités partageant des intérêts communs qu’elles soient étatiques ou privées. Les ressources sont mutualisées entre les membres de la communauté, permettant de partager les coûts et d’optimiser l’utilisation des infrastructures.

Offres cloud non commerciales

  1. Interne : Ce type d’offre est déployé en interne dans l’infrastructure de l’entité utilisatrice. L’exploitation et la supervision des infrastructures peuvent être assurées par l’entité ou par un sous-traitant. Cette approche permet à l’entité de bénéficier des avantages du cloud, tels que la flexibilité et l’évolutivité, tout en gardant un contrôle strict sur la sécurité et la gestion des données.
  2. Communautaire : Dans certains cas particuliers, des entités d’un même secteur d’activité peuvent mutualiser leurs besoins pour créer une infrastructure cloud communautaire. Cela permet de partager les coûts et les ressources tout en maintenant un certain niveau de contrôle et de sécurité. Des exemples de ce type d’offre incluent les initiatives comme Pi et Nubo.

2. La typologie des menaces

Les systèmes d’information peuvent être exposés aux différentes typologies des menaces. L’ANSSI distingue trois grandes catégories de menaces : les menaces stratégiques, les menaces systémiques, et les menaces hacktivistes ou isolées.

Menace stratégique

Les menaces stratégiques se manifestent par des attaques informatiques persistantes et ciblées, souvent financées par des États. Ces attaques utilisent des moyens techniques et organisationnels importants et sont menées avec une grande discrétion. Ces menaces visent fréquemment à déstabiliser les institutions ou à compromettre la sécurité nationale, ciblant des infrastructures critiques ou des secteurs stratégiques.

Certains États peuvent recourir à des lois extraterritoriales ou à des législations spécifiques pour accéder aux données hébergées dans le cloud sans mener d’attaque informatique. Les hébergeurs soumis à ces lois doivent transmettre les données de leurs clients aux autorités, souvent sans possibilité de recours ou d’information préalable des clients concernés.

Menace systémique

Les menaces systémiques peuvent affecter un grand nombre d’entités et incluent principalement la menace cybercriminelle, caractérisée par des attaques informatiques opportunistes et souvent lucratives, telles que les rançongiciels et les fraudes.

Ces menaces sont également amplifiées par la disponibilité croissante d’outils et de services offensifs, commercialisés par des entreprises privées. Ces services peuvent être utilisés pour l’intelligence économique, l’espionnage industriel, ou permettre à certains États aux ressources limitées d’acquérir des capacités offensives.

Menace hacktiviste ou isolée

Les menaces hacktivistes ou isolées sont souvent motivées par des idéologies politiques ou sociales. Les hacktivistes cherchent à promouvoir une cause ou à protester contre des actions spécifiques en perturbant les systèmes d’information de leurs cibles. Les attaques peuvent inclure des défigurations de sites web, des dénis de service distribués (DDoS) ou des fuites de données. Les menaces isolées, quant à elles, sont souvent le fait d’individus ou de petits groupes sans affiliation à des organisations plus larges.

Focus sur le référentiel et la qualification SecNumCloud
  • Le référentiel SecNumCloud de l’ANSSI propose des règles de sécurité et de bonnes pratiques garantissant un haut niveau de sécurité. La qualification SecNumCloud assure que les offres cloud respectent ces exigences, tant du point de vue technique qu’opérationnel.

 

  • La qualification SecNumCloud, basée sur ce référentiel, est attribuée par l’ANSSI à des offres cloud en PaaS, IaaS ou SaaS, et assure la confiance dans les offres cloud et les pratiques d’exploitation des opérateurs qualifiés. Cependant, cette qualification ne garantit pas la sécurité des services numériques des clients utilisant ces offres.

 

  • Le “Visa de sécurité” SecNumCloud permet aux utilisateurs d’identifier des offres cloud visant à protéger les données et les traitements sensibles contre les menaces cybercriminelles et les lois extraterritoriales. Cette qualification facilite également les processus d’homologation des services numériques des clients, en leur offrant un certain niveau de garantie sur les infrastructures sous-jacentes.

3. La nature des systèmes d’information

Le troisième élément clé des recommandations de l’ANSSI repose sur la nature des systèmes d’information concernés :

  1. Systèmes d’information de niveau diffusion restreinte (DR) : Ces systèmes traitent des données classées diffusion restreinte, nécessitant des mesures de protection spécifiques pour éviter la divulgation non autorisée.
  2. Systèmes d’information sensibles relevant de la doctrine cloud au centre de l’État : Ces systèmes, hors SIIV, traitent des données sensibles conformément à la circulaire cloud au centre, et nécessitent une attention particulière pour garantir leur sécurité.
  3. Systèmes d’information sensibles des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) : Bien qu’ils ne soient pas réglementés comme les SIIV, ces systèmes sont considérés comme sensibles en raison de la nature des données qu’ils traitent, nécessitant des mesures de protection renforcées.
  4. Systèmes d’information d’importance vitale (SIIV) : Ces systèmes sont cruciaux pour la sécurité nationale, économique et la capacité de survie de la Nation. Une atteinte à leur sécurité ou à leur fonctionnement pourrait gravement compromettre ces aspects, représentant un danger significatif pour la population.

L’application des recommandations de l’ANSSI

L’ANSSI définit pour les quatre systèmes d’information présentés ci-dessus, en fonction de la sensibilité des traitements et des données, ainsi que du niveau de la menace associé, les recommandations suivantes :

Synthèse des recommandations d’hébergement cloud de l’ANSSI par Cloud TempleTélécharger la synthèse

SI sensible de niveau DR

  • L’ANSSI recommande l’utilisation d’offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) ainsi que des offres commerciales privées. Ces options permettent de bénéficier d’une infrastructure dédiée, réduisant ainsi le risque de propagation d’une attaque d’un client à un autre.
  • Les offres cloud qualifiées SecNumCloud commerciales, qu’elles soient communautaires ou publiques, sont également envisageables. Toutefois, elles impliquent une mutualisation des ressources informatiques entre plusieurs clients (par exemple, le stockage des données sur une même ressource physique ou l’hébergement de sites web sur les mêmes serveurs physiques).
Externalisation de l’hébergement

La décision d’externaliser l’hébergement sur une offre cloud commerciale qualifiée SecNumCloud doit être prise par l’entité concernée, basée sur une analyse de risques démontrant que la solution offre un niveau de protection adéquat.
Il est crucial de considérer la localisation de l’hébergement et la nationalité des administrateurs lorsque l’accès à certaines informations est restreint par la nationalité (par exemple, les informations Diffusion Restreinte – Spécial France). Dans ce cas, une offre cloud non commerciale pourrait être plus appropriée pour répondre aux exigences de l’IGI 1300.

SI sensible relevant de la doctrine cloud au centre de l’État

  • Conformément à la « doctrine cloud au centre » de l’État, ces systèmes doivent être hébergés exclusivement dans des offres cloud qualifiées SecNumCloud (internes, privées, communautaires ou publiques).

SI sensible d’un opérateur d’importance vitale et SI sensible d’un opérateur de services essentiels (dont les systèmes d’information essentiels)

  • L’ANSSI recommande l’utilisation de toute offre qualifiée SecNumCloud pour ces systèmes.

SI d’importance vitale (SIIV)

  • En raison de la sensibilité des traitements et des données qu’ils gèrent, les SIIV nécessitent une décision motivée du responsable de l’entité concernée.
  • Pour les SIIV compatibles avec les technologies cloud, l’ANSSI recommande les offres cloud qualifiées SecNumCloud non commerciales (internes et communautaires) et commerciales privées, permettant de disposer d’une infrastructure dédiée et de minimiser le risque de propagation d’une attaque d’un client à un autre.
Conditions pour autres types d’offres cloud commerciales

L’ANSSI n’exclut pas l’utilisation d’autres types d’offres cloud commerciales, à condition que :

  • Elles soient qualifiées SecNumCloud
  • Le responsable de l’entité base sa décision sur une analyse de risques argumentée concernant l’externalisation de l’hébergement du SIIV et que toutes les obligations réglementaires applicables aux SIIV soient respectées.
Catégories
Culture tech
Le magazine
Politique en matière de cookies

Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site mais nous ne prélevons aucune donnée à caractère personnel.

Les services de mesure d’audience, nécessaires au fonctionnement et à l’amélioration de notre site, ne permettent pas de vous identifier personnellement. Vous avez cependant la possibilité de vous opposer à leur usage.

Pour plus d’informations, consultez notre politique de confidentialité.

Autoriser Refuser