L’ANSSI -Agence Nationale de la Sécurité des Systèmes d’Information- vient de publier la nouvelle version (3.2.a) de son référentiel d’exigences SecNumCloud applicables aux prestataires d’informatique en nuage. Parmi les principales modifications : L’explicitation des critères d’immunité aux lois extracommunautaires, la mise en œuvre de tests d’intrusion et la prise compte les activités de type CaaS (Container as a Service). Elle est soumise à commentaires et propositions jusqu’au 15 Novembre 2021.
Cette nouvelle version s’inscrit notamment dans la stratégie nationale pour le Cloud annoncée mi-mai 2021 par le gouvernement et l’élaboration du schéma de certification européen relatif aux prestataires de cloud.
L’apport essentiel de cette nouvelle version 3.2.a repose sur l’explicitation des critères d’immunité aux lois extracommunautaires.
Première modification : Le siège ou le principal établissement du prestataire de services cloud doit être établi au sein d’un Etat membre de l’Union Européenne.
Le prestataire doit par ailleurs être majoritaire au niveau du capital et des droits de vote, les sociétés tierces ne pouvant détenir plus de 24% individuellement et 39% collectivement.
Les entités tierces ne peuvent pas individuellement en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
Au niveau des nouvelles règles de recours aux sous-traitants
Une société tierce ne possédant pas son siège dans l’UE ne peut « avoir la compétence pratique d’obtenir les données opérées au travers du service ». Les données sont entendues ici au sens large, incluant toutes les données techniques (journaux de l’infrastructure, annuaire, certificats, configuration des accès, données manipulées par le SDN etc.)
Toute société tierce à laquelle le prestataire recourt pour fournir tout ou partie du service rendu au commanditaire, doit ainsi garantir au prestataire une autonomie d’exploitation continue dans la fourniture des services d’informatique en nuage qu’il opère ou à défaut doit être qualifié SecNumCloud.
Concernant la gestion des risques
Le référentiel impose deux nouvelles obligations au prestataire.
Lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leurs consentements préalables.
Mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état non-membre de l’Union Européenne.
Support technique et accès aux informations.
Dans le cadre du support technique, désormais pour accéder aux données du commanditaire dans le cadre de diagnostic ou de la résolution d’un problème technique, le prestataire devra s’assurer du consentement explicite du commanditaire et vérifier que la personne du support soit localisée au sein de l’Union Européenne.
Sécurité, inspection et mise à jour.
Le prestataire doit fournir une capacité d'inspection et de suppression, si nécessaire, pour le contrôle de l’authenticité et de l'innocuité des mises à jour, le contrôle de l’innocuité des outils fournis, etc.) relatifs au périmètre de l’infrastructure technique. Cette capacité d'inspection et de suppression doit générer des journaux d'activité et doit pouvoir faire l'objet d'un audit de code.
Le prestataire devra également vérifier à effectuer des tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.
Certificats et racines de confiance.
Il est désormais demandé au prestataire d’utiliser exclusivement des certificats de clé
publiques issus d’une autorité de certification d’un état membre de l’Union Européenne.
Nouveaux usages CaaS.
Le référentiel évolue en prenant en compte de nouveaux usages de services de type CaaS-Container as a Service-. Ainsi, Lorsque le prestataire utilise un service de type CaaS comme socle d’un autre service (PaaS ou SaaS), les ressources affectées à l’usage du prestataire ne doivent en aucun cas être accessibles via l’interface publique mise à disposition des autres commanditaires du service CaaS.
Le durcissement du référentiel SecNumCloud de l’ANSI intervient dans le contexte de la nouvelle doctrine Cloud de confiance du gouvernement. Le Saint Graal risque d’être de plus en plus compliqué à obtenir.
Si la France plaide aujourd’hui au niveau européen pour une équivalence au SecNumcloud, il est bon de rappeler que son homologue allemand le BSI (Bundesamt für Sicherheit in der Informationstechnik) œuvre dans le même sens avec la certification C5 -Cloud Computing Compliance Catalogue-
Rappelons que la norme C5 du BSI a été influencée par la norme SecNumCloud française, et a à son tour influencé celle-ci, avec un objectif précis : la création d'une option de reconnaissance mutuelle sous un label commun, ESCloud. De même, la version préliminaire du Système européen de certification de la cybersécurité pour les services cloud (EUCS) de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) s'inspire largement de la norme de sécurité C5.
Comments