Accueil » Les recommandations de l’ANSSI sur l’hébergement dans le cloud des systèmes d’information sensibles

Les recommandations de l’ANSSI sur l’hébergement dans le cloud des systèmes d’information sensibles

Cecile Vicini

L’essor du cloud computing transforme les usages numériques des organisations publiques et privées. Cette technologie, bien qu’attrayante par ses avantages, impose des exigences accrues en matière de sécurité, notamment pour les systèmes d’information sensibles. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a ainsi élaboré des recommandations pour guider ces entités dans leur choix d’hébergement cloud, en tenant compte de la nature des données, du niveau de menace et des spécificités des infrastructures concernées.

Les atouts et défis du cloud computing

L’adoption du cloud computing représente une avancée majeure pour la transformation numérique. Cependant, elle s’accompagne de nouveaux risques. Les infrastructures cloud, en concentrant une masse importante de données et de traitements, attirent des cyberattaques, ciblant notamment les solutions de virtualisation et les outils d’administration mutualisés. Une autre menace provient des lois extraterritoriales qui contraignent certains fournisseurs à transmettre les données de leurs clients à des autorités étrangères.

Face à cette complexité, les organisations doivent choisir des offres adaptées à la sensibilité de leurs systèmes et au niveau de menace identifié.

Un outil d’aide à la décision

Les recommandations de l’ANSSI s’adressent aux systèmes d’information classifiés comme diffusion restreinte (DR), sensibles ou vitaux. Elles visent à éclairer la décision des responsables en proposant des critères pour évaluer les offres cloud. Ces orientations sont alignées avec la doctrine étatique « cloud au centre », tout en respectant les particularités des systèmes publics et privés.

Toutefois, l’ANSSI souligne que ces recommandations ne s’appliquent pas aux systèmes classifiés, pour lesquels des exigences spécifiques sont en place.

Étude d’impact et analyse des risques

La décision de migrer repose sur une analyse approfondie des impacts juridiques, métiers et techniques, complétée par une évaluation des risques spécifiques. Ces derniers incluent notamment :

  • l’exposition des services à internet ;
  • la mutualisation des infrastructures avec d’autres clients ;
  • la sensibilité des données traitées ;
  • les implications des lois extraterritoriales.

Cette analyse doit permettre aux décideurs d’identifier le niveau de protection requis et les solutions adéquates.

Sécurisation et formation

La sécurisation des services cloud incombe à l’entité cliente. Cela inclut la configuration rigoureuse des systèmes d’accès et de supervision, la gestion des filtrages, ainsi que l’ajout de clauses de réversibilité pour limiter la dépendance à un fournisseur unique. Par ailleurs, l’ANSSI recommande la formation des équipes impliquées, afin d’assurer la maîtrise des aspects techniques, organisationnels et financiers.

Les piliers des recommandations

L’ANSSI base ses recommandations sur trois axes principaux : la typologie des offres cloud, l’état de la menace et la nature des systèmes d’information.

Typologie des offres cloud

Les solutions cloud se divisent en deux grandes catégories : commerciales et non commerciales.

  • Offres commerciales : elles incluent les solutions publiques, privées et communautaires, avec des infrastructures mutualisées ou dédiées.
  • Offres non commerciales : elles regroupent les clouds internes et communautaires, souvent utilisés par des entités d’un même secteur ou par l’État.

L’usage hybride des infrastructures internes et des solutions cloud permet aux organisations de répondre à des besoins variés, tout en optimisant leurs ressources.

Évaluation des menaces

L’ANSSI distingue trois types de menaces : stratégiques, systémiques et isolées. Chaque niveau de menace appelle des mesures spécifiques. Par exemple, les menaces stratégiques, souvent orchestrées par des États, ciblent les données sensibles pour des activités d’espionnage ou de déstabilisation. Les menaces systémiques, comme les cyberattaques opportunistes, affectent un large spectre d’entités, tandis que les menaces isolées émanent d’individus ou de groupes aux moyens limités.

Nature des systèmes d’information

Les systèmes d’information sont catégorisés en fonction de leur sensibilité. Les SI de diffusion restreinte et sensibles nécessitent une attention particulière quant au choix des solutions cloud, tandis que les SI d’importance vitale imposent des exigences de sécurité renforcées.

Application concrète des recommandations

Pour chaque type de système, l’ANSSI propose des orientations spécifiques :

  • SI de niveau diffusion restreinte : privilégier les offres qualifiées SecNumCloud, qu’elles soient non commerciales ou commerciales privées.
  • SI sensibles : respecter les exigences de la doctrine étatique, avec un recours exclusif à des offres qualifiées SecNumCloud.
  • SI vitaux : opter pour des solutions hautement sécurisées, accompagnées d’une analyse de risques approfondie.

Les qualifications SecNumCloud, délivrées par l’ANSSI, offrent des garanties sur la sécurité des offres cloud, mais ne dispensent pas les utilisateurs de leurs responsabilités. Par exemple, la sécurité d’un site web hébergé repose avant tout sur la configuration et les pratiques mises en place par le client.

Consulter le guide en intégralité

Agenda Appel à candidature Apprentissage Arrêt maladie Artisanat Ce qui change CMA France Cour de cassation Cybersécurité Dares Formation France Travail Gestion d'entreprise IA Influence politique Législation Micro entreprise Métiers d'art Numérique Organisations professionnelles Salaires Santé Santé mentale Tendances économiques Urssaf

En savoir plus sur TPE ACTU

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture

Recevez directement nos articles dans votre boîte mail !

Poursuivre la lecture