CONSULTING & TECHNICAL EXPERTISE

Infrastructures CybersecurityCloud

Cloud SouverainCirculaire du 08/11/2018

Livre Blanc

Le Cloud, un secteur en pleine croissance

2

« Les revenus des opérateurs et des fournisseurs ont dépassé les 250 milliards de dollars l’an passé, soit une croissance de 32 % par rapport à 2017 »

ITSocial, 22/01/2019

« L’informatique en nuage (Cloud computing) peut être définie comme un modèle de gestion informatique permettant l’accès via un réseau à des ressources informatiques partagées et configurables. Ces ressources sont attribuées à la demande et parfois en libre-service »

Prestataires de services d’informatique en nuage (SecNumCloud), ANSSI, 11/06/2018

La problématique principale est la sécurité

Suite au récent Cloud Act promulgué aux États-Unis et dans le sillage duRGPD, la sécurité et le contrôle des données sont devenus primordiaux. Bien qu’ilexiste d’ores et déjà de nombreuses certifications de sécurité informatiques (commepour les transaction bancaires- PCI-DSS), la confiance dans les fournisseurs de Cloudreste nuancée. Parallèlement, l’efficacité promise par le Cloud reste un facteur plusattractif, et de plus en plus d’entreprise prennent le parti de miser sur celui-ci.

C’est dans ce contexte de la montée en puissance du Cloud que l’ÉtatFrançais relance l’initiative du Cloud Souverain. Il devient impératif dans latransformation digitale de l’Etat de posséder un service Cloud, plus adapté auxnouveaux besoins mais tout autant sécurisé. Les objectifs sont la réduction des coûts,un gain en efficacité et une modernisation du fonctionnement interne commeexterne. Par exemple, uniformiser l’ensemble des démarches par internet.

L’Etat publie en novembre 2018 un rapport sur sa demande de Cloud et unappel d’offre est attendu prochainement.

23 mars 2018

Cloud Act

25 mai 2018

RGPD

8 nov. 2018

Doctrine d'utilisation de l'informatique en nuage par l'État (Cloud souverain)

4

Exigence de l’Etat 8

Technologie Cloud 11

SecNumCloud 15

Conclusion 23

Histoire du Cloud Souverain 5

Comment L’Etat va-t-il évoluer vers le Cloud et quels services déléguer ?

Histoire du Cloud souverain

6

Du projet Andromède..

Début du projet, objectif :développer une technologie Cloudfrançaise et européenne pour lesadministrations et entreprises.

2011

Création de deux filiales: CloudWattet Numergy à vocation de sedévelopper pour le Cloud souverain.

2012

Rachat de Cloudwatt par Orange,Numergy par SFR. Mort du projetaprès 75 millions investis.

2015

Lancement de la certificationSecNumCloud par L’ANSSI (SNC): unlabel de haute sécurité pour lesfournisseurs de Cloud à destinationdes administrations.

2016

Projet ESCloud : une certificationeuropéenne établie par la fusiondu SecNumCloud et du C5.

2016

7

Parution de la Doctrine d'utilisation del'informatique en nuage par l’État :expression des attentes de l'État pourses administrations avec appel d’offre

2017

Oodrive : 1ère entreprise à obtenir lacertification SNC.

2018

Mise à jour de lacertification SNC V3.1,adaptée à la RGPD.

2019

Objectif de Etat : toutes les démarchesadministrative doivent être possible enligne.

2022

..À aujourd’hui

Les exigences de L’Etat

9

Cahier des charges : une demande multiple et hybride, composée de 3 cercles de données

Donnée ultra sensible

Donnée prioritaire

Donnée moins prioritaire

Service organisé par l’Etat sousforme de Cloud OpenStack interne= Cloud interne

Service sous-traité par l’Etat sousforme de Cloud externe accessibledepuis internet.= Cloud public

Service sous-traité par l’Etat et l’ANSSIavec des composants de France ConnectPlateforme sous forme de Cloud dédié= Cloud privé

Le service doitrépondre à lacertificationSecNumCloud

Doctrine d'utilisation de l'informatique en nuage par l'État, 08/11/2018

Le service doit répondre à un niveau de sécurité minimum, mais en privilégiant la performance

10

Exemples probables d’utilisation

3ème cercle : donnée moins sensible en Cloud externe

• Diverses ressources comme des données administratives

2ème cercle : donnée sensibles en Cloud dédié

• Gestion transport, télécommunication

• Service Ministériel

1er cercle : données ultra sensibles en Cloud interne

• Défense

• Confidentiel

• Santé

• Finance et Recherche

La technologie Cloud

12

Les services Cloud : le devenir des entreprises

1) Les équipements de travail et les infrastructures représentent un coût

considérable en matière de gestion

La gestion physique des équipements : puissance

de calcul, place occupées, maintenance

technique et support logiciel.

La gestion des données : serveurs et sécurité.

2) Le Cloud est un service répondant à ces contraintes par le biais de

location d’équipement à distance

Il est possible de louer des machines aux

caractéristiques précises (IaaS) ou simplement des

logiciels (SaaS).

Gestion par le fournisseur de la

maintenance, accessibilité, support et stockage des données.

3) Un service adapté aux besoins, à la demande en

quelques minutes, et automatisable

L’entreprise ne limite pas seulement ses dépenses mais les optimise : Le Cloud fournit exactement les équipements

nécessaires.

Il n’y a plus de machines inutilisées (pertes d’argent)

ou surutilisées (perte de temps).

13

Principe et fonctionnement

14

Les acteurs principaux, majoritairement internationaux

SecNumCloud (SNC), Une certification exhaustive

16

Une problématique de confiance

Les données gouvernementales sont desdonnées prioritaires qui ne peuvent êtrecompromises (Impôts, Santé, Défense,Budget).

C’est pourquoi SecNumCloud a été mis enplace : certifier les fournisseurs Cloud afinde pouvoir leur faire confiance avant destocker des données sensibles chez eux.

17

Beaucoup d’attendus

▪ La certification SNC s’est construite à partir de certifications, méthodes de travail etéquipements spécifiques et de pointe. L’ANSSI fournit la liste des prestataires etéquipements qu’elle considère comme dignes de confiance et nécessaires pour obtenirla certification. L’objectif ainsi visé est de réduire au maximum les failles de sécurité.

▪ L’ebook créé par Oodrive en 2019 résume les exigences p18

Réglementation : ISO 27001, RGPD.

Mise à jour : PSSI, méthodologie d’analyse de risques.

Processus de sécurité : OTP, WAF, SIEM, cryptage.

Équipement physique : HSM, sites ultra surveillés (badge, caméra, registre), équipements certifiés par l’ANSSI. *

Localisation des données en Europe

*Liste des produits et service qualifié par L’ANSSI.6 juin 2019

18

Oodrive, 1er détenteur de la certification

«L’obtention de la qualificationSecNumCloud nécessite un fortinvestissement humain, la mise enplace d’audits, l’évolution denombreux éléments de sécuritéphysiques, contractuels etorganisationnels. Le cumul de cesinvestissements est supérieur à300 000€. »

Ebook Oodrive p29 2019

19

La liste de l’ANSSI : les futurs candidats du SNC

Prestataire de service d’informatique en nuage (SecNumCloud ), site ANSSI06/08/2019

20

L’exemple d’OVH pour obtenir SNC

Blog d’OVH sur le SecNumCloud, auto évaluation avec détails précis disponibles26 juin 2018. https://www.ovh.com/fr/blog/private-cloud-en-cours-de-qualification-secnumcloud/

Satisfaisante

Doit être revu

Correcte mais nécessite une mise à jour

21

Spécificité pour le Cloud souverain

Frein principal pour les grands acteurs : la

localisation des données doit être en France.

Situation des géants du Cloud :

•Google, aucun datacenter en France

•Microsoft ( AZURE ), mars 2018

•Amazon ( AWS), Décembre 2017

•Salesforce, juin 2016

• IBM, novembre 2014

Étude Xerfi : Les hébergeurs et gestionnaires de data centers à horizon 2020 03/09/2018. Contient la liste des entreprises possédant des datacenters français.

22

Retour sur CloudWatt, le site de l’ANSSI ne semble pas à jour

Le 1er août, Orange annonce la fermeture de son service Cloudwatt pour février 2020. Or il est candidat pour la certification SNC.*

Pourtant Le site de L’ANSSI le considère encore comme restant un futur candidat, un mail d’investigation a été envoyé.

Parallèlement, OVH ne figure pas sur le site bien que leur intention d’obtenir la certification soit claire et officielle.

https://www.channelnews.fr/orange-enterre-definitivement-cloudwatt-9077901/08/2019

Conclusion

24

Le marché : qui peut souscrire aux 3 cercles de données ?

Cloud externe

• Ouvert à tous les prestataires avec un prérequis de sécurité, français comme internationaux(sous couvert d’un datacenter

en France)

Cloud dédié

• 7 partenaires possibles*:Cheops, Idnomic, Outscale,

Vendome Solutions, Worldline, Oodrive, OVH,

(Orange for business?)

Cloud interne

• Base Open Stack, pas de développeur défini pour

l’instant.*

*29/07/2019

25

Lexique

OTP One-Time Password

WAF Web Application Firewall

SIEM Security Information and Event Management

HSM Hardware Security Module

PSSI Politique de sécurité du système d'information

C5 Cloud Computing Compliance Controls Catalogue

OIV Opérateur d’importance Vitale

Auteur, CAPRON Alexandrehttps://www.linkedin.com/in/alexandre-capron-9834ba158