Pendant cet été, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a publié un référentiel sur la sécurité. J’ai fait une lecture détaillée de ce document dont le titre complet décrit ce très large périmètre : « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) – référentiel d’exigences« . Voici mon avis sur ce document.
Une cible restreinte
Très vite, on s’aperçoit que ce document ne s’adresse pas à toutes les entités. La première cible est clairement exprimée : L’administration. C’est normal car c’est la première mission de l’ANSSI. Mais le cadre peut facilement déborder vers les entreprises mais pas toutes. Quand on voit le niveau de maturité que l’entité cliente doit avoir, il faut déjà une DSI avec un niveau de maturité avéré.
Ce référentiel est-il une norme ?
En lisant les exigences décrites, on reconnaît pour ceux qui la connaissent, une ressemblance à l’ISO 27001. Mais ce n’est pas dans les missions de l’ANSSI de certifier toutes les organisations, ils se limitent au conseil et c’est déjà bien. Il faut voir comment l’AFNOR réagit par rapport à ce référentiel.
Comment utiliser ce référentiel ?
Que cela soit pour le fournisseur de Cloud ou le client final, on pourrait se dire que le référentiel pourrait être le point médian où les clients et les fournisseurs pourraient se retrouver. L’un réclamant à l’autre les services attendus et décrits dans ce référentiel.
Mais pour l’un et l’autre, il faut surtout prendre ce document comme une potentielle feuille de route d’amélioration.
Des opérateurs Cloud éligibles
Les exigences décrites dans ce document font d’abord la part belle aux opérateurs nationaux. A partir du moment où l’on parle d’audits, de visites de sites, de contrôles. Cela apporte évidemment un avantage important aux opérateurs à proximité du client.
Mais il ne faut pas se leurrer, les opérations de sécurité pour les opérateurs ou les clients finaux ont un coût représentatif et toutes les exigences décrites ne sont pas standardisées, mais cela pourrait devenir la cible.
Au final, ce document est référentiel obligatoire pour les administrations et partagé avec le monde privé. Comme il se cale quand même sur l’ISO 27 001, il n’y a pas de surprise sur son contenu.
Les opérateurs de services Cloud pourront proposer des services de ce niveau.
Si ce référentiel trouvait une adhésion, ce dont je doute vraiment, on verra apparaître des « services de cloud sécurisés » et par défaut les autres ne le seront pas… à la mode ANSSI car toutes les entreprises n’auront pas besoin de ce niveau de services.
La sécurité doit être une préoccupation du chef d’entreprise comme il peut l’être naturellement par la protection physique des locaux et celles des salariés. Mais avant de devenir paranoïaque, il faut surtout être pragmatique en protégeant ce qu’il y a protéger et à sa juste valeur.
Vous n’arrivez pas à évaluer le niveau de maturité de la sécurité de votre système d’information, contactez-moi.