Recommandations d’usage du cloud 1 CNRS I RSSI I François Morris Jussieu 21/03/2017 Cadre réglementaire PSSIE, principes stratégiques P9. Les produits et services acquis par les administrations et destinés à assurer la sécurité des systèmes d’information de l’État doivent faire l’objet d’une évaluation et d’une attestation préalable de leur niveau de sécurité, selon une procédure reconnue par l’ANSSI (« labellisation »). P10. Les informations de l’administration considérées comme sensibles, en raison de leurs besoins en confidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national. Données à caractère personnel Loi Informatique et libertés 1978 RGPD (25 mai 2018) Contraintes de localisation Exigences sur le prestataire Définitions des responsabilités et cadre contractuel Contrôle du prestataire 2 CNRS I RSSI I François Morris Jussieu 21/03/2017 Cadre réglementaire (2) Protection du potentiel scientifique et technique Données des domaines sensibles diffusion restreinte (Instruction 901) Terriblement contraignant Difficilement compatible avec le fonctionnement de la recherche scientifique Attente de textes sur la « PPST numérique » Stockage dans un cloud public exclu 3 CNRS I RSSI I François Morris Jussieu 21/03/2017 Qualification ANSSI SecNumCloud Référentiel de référence pour la qualification des prestataires d’informatique en nuage Basé sur l ’ISO 27002:2013 2 niveaux Essentiel : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf Avancé : non encore publié PSSIE La conformité d’un service d’informatique en nuage au niveau « Essentiel » n’atteste pas de sa conformité à la PSSIE Actuellement aucun qualifié, seulement des prestataires en cours de qualification Avancé OODRIVE : iExtranet, PostFiles et BoardNox Avancé VENDOME SOLUTIONS : IaaS avec Plan de Reprise d'Activité Essentiel ORANGE CLOUD for BUSINESS : Flexible Storage 4 CNRS I RSSI I François Morris Jussieu 21/03/2017 Risques du cloud, quelques questions à se poser 5 Conformité avec la réglementation ? Territorialité et législation applicable ? Pérennité du prestataire et de son service ? Réversibilité ? PCA/PRA ? Propriété des données déposées ? Accès aux journaux ? Contrôle, audit du prestataire ? Pertes de compétences ? Coûts immédiats et à long terme ? Cloisonnement des différents clients ? CNRS I RSSI I François Morris Jussieu 21/03/2017 Clouds publics « gratuits » Contrat d’adhésion Négociation impossible Clauses léonines Rédigé par des juristes pour que cela soit le plus long et le plus incompréhensible possible Abandon de droits sur ses propres données Modèle économique Produit d’appel pour une solution payante Revente des informations des clients (pour la publicité notamment) Incompatible avec notre cadre réglementaire On n’utilise pas les clouds publics gratuits Exception possible pour des données chiffrées dont on maîtrise totalement le chiffrement Chiffré/déchiffré localement avant envoi/après réception Clé uniquement connue localement 6 CNRS I RSSI I François Morris Jussieu 21/03/2017 Clouds publics payants Le prestataire et le contrat que l’on a avec doivent être compatibles avec le cadre réglementaire vu précédemment Nécessaire appréciation des risques Cf. questions posées précédemment Analyse des coûts et notamment des coûts cachés et induits Gestion du contrat et des relations avec le prestataire Réversibilité Pertes de compétence Traitement des incidents et problèmes Possible après étude approfondie Certainement exclusion des données les plus sensibles 7 CNRS I RSSI I François Morris Jussieu 21/03/2017 Clouds privés Offres CNRS CoRe (SharePoint) My CoRe (OwnCloud) ODS : IaaS, PaaS Renater Universités Solutions à privilégier Données PPST très grande prudence Pas sur CoRe aujourd’hui Nouveau marché ZonePoint Chiffrement données sensibles avec produits qualifiés (Prim’X) 8 CNRS I RSSI I François Morris Jussieu 21/03/2017