Le Clusif définit quinze critères pour un cloud de confiance

Les RSSI s’inquiètent de la souveraineté des solutions mises en œuvre dans les entreprises. Le Clusif (Club de la Sécurité des Systèmes d’Information Français) a diffusé une prise de position en faveur des solutions de cloud de confiance. Comme le Cigref avant lui, le Clusif préfère éviter le terme de « solution souveraine » au profit de « solution de confiance ». En effet, la souveraineté est un attribut des états. L’association a surtout défini quinze critères à examiner pour définir si oui ou non une solution est « de confiance ». Mais elle s’attache tout de même à définir et clarifier les concepts. Pour l’association, « le concept de souveraineté est un cadre renforcé et complémentaire à celui de la confiance numérique. Les deux concepts sont imbriqués. »

La priorité donnée aux solutions Cloud (« Cloud First ») par de nombreuses entreprises amènent en effet celles-ci à beaucoup choisir des solution d’hébergement de leur SI extra-européennes, notamment les hyperscalers américains ou chinois. Or ces solutions ne peuvent pas garantir un niveau suffisant de sécurité ou de confidentialité à cause des réglementations de ces pays. Dans les deux cas, les autorités du pays peuvent, en toute discrétion, espionner les données des entreprises hébergées soit sur leur sol, soit dans un lieu contrôlé par une entreprise relevant de leur juridiction.

Définir clairement les concepts

Dans sa prise de position, le Clusif distingue clairement les concepts de « confiance » et de « souveraineté ». Ainsi, l’association définit « la confiance numérique comme un concept qui vise à garantir un niveau de préservation des intérêts des organisations et de leurs utilisateurs en matière de services et de protection des données ». Elle la distingue donc de la « la souveraineté numérique » définie « comme visant à garantir la préservation des intérêts fondamentaux d’un État ainsi que ceux de ses organisations nationales et de leurs utilisateurs en matière de services et de protection des données. » La simple confiance numérique n’est pas jugée suffisante contre les menaces étatiques institutionnelles « pour répondre aux besoins de services et d’hébergement de données relevant du domaine régalien (souverain) ou pour les organisations dont les activités nécessitent un niveau de sécurité accru ».

Si « les solutions qualifiées SecNumCloud par l’ANSSI ou équivalent à l’échelle Européenne restent bien entendu à privilégier pour des solutions Cloud », l’association définit quinze critères pour juger de la pertinence d’une solution qui ne bénéficierait pas de cette certification. Basée sur ces critères, une grille d’évaluation a été mise au point par l’association. Les critères sont les suivants : « localisation physique des datacenters, localisation des données (transit, repos, utilisation), localisation des services et applications tierces, localisation des équipes d’admin / exploitation, localisation des sous-traitants, localisation si chaîne de sous-traitance, localisation des personnes à accès à privilèges, localisation des supervisions / sauvegardes, localisation du siège de la société, nationalité des services ou produits utilisés, nationalité du ou des hébergeurs, nationalité des personnels à accès techniques, nationalité des fonds de capitaux, montage juridique de la société / entité et, enfin, certifications pour l’hébergeur.

En savoir plus

- Sur le site du Clusif : « Souveraineté des hébergements cloud : sortons de l’ambiguïté ».