(0)
Bonnes pratiques

Rien de nouveau sous le Soleil du Cloud

  • Frédéric Malmartel
    Administrateur, Clusif

Le rôle du RSSI est de manager la sécurité d’une organisation à travers la mise en oeuvre de bonnes pratiques et d’améliorations permanentes grâce à une connaissance des risques et de leur évolution.

L’utilisation du Cloud change les menaces, donc les risques sur le SI dont il est responsable. Les données sont désormais traitées sur les supports partagés du Cloud. Suivant le modèle de services retenu : Interne, Saas, PaaS ou IaaS, l’impact du Cloud sur la sécurité aura plus ou moins d’importance.

Le problème auquel est confronté le RSSI va être de savoir gérer l’évolution du risque de sécurité, dans un environnement qui peut être, très profondément modifié. Il devra empêcher ou limiter (!) la régression du niveau de sécurité tout en prolongeant sa démarche d’amélioration permanente.

La connaissance des risques

 Le RSSI, pour effectuer son métier, se doit d’avoir une parfaite connaissance, un bon suivi, des risques de sécurité de son entreprise, ainsi qu’une maîtrise des bonnes pratiques de sécurité existantes.

A partir de cette connaissance, il doit aller à l’essentiel : pallier les failles de sûreté les plus béantes et améliorer son niveau de sécurité.

L’apparition du Cloud ne change rien à la nature de l’Information à protéger en entreprise, ni à aucune de ses exigences de sécurité. Elles sont du domaine du métier et nullement de celui des solutions techniques dont il fait partie. En revanche, son apparition va modifier les vulnérabilités et les menaces, donc les risques pesant sur cette information.

Le défi est de connaître les nouvelles menaces et vulnérabilités et ainsi de sérier les risques nouveaux.

Or, s’il existe des méthodes spécifiques pour analyser et mesurer les risques liés au CLOUD : OSCAR,

EFICAS… Il est impossible de se livrer stricto sensu à une « analyse de risques cloud », au sens ISO27005 du terme. En effet, une analyse de risques, avec la signification que lui donne la norme, concerne un système d’information et en aucun cas, un vecteur d’information.

Un air de déjà vu

 Au niveau macroscopique, la problématique rencontrée avec le Cloud est la même que celle trouvée dès qu’un nouveau moyen d’échange, ou de traitement de l’information est mis en œuvre. Chaque fois qu’un nouveau support de stockage, de transmission, ou de traitement de données est utilisé, nous nous heurtons aux mêmes difficultés. Des risques nouveaux apparaissent dans un SI qui conserve les mêmes exigences de sécurité qu’auparavant.

La situation n’est pas totalement inédite.

Comme la mise en œuvre du Cloud, le déploiement d’une multiplicité de canaux d’échanges : le site web classique, le site pour mobile, la plate-forme téléphonique, le texto, entre l’entreprise et ses partenaires… engendre de nouveaux risques.

Nous avons déjà vécu des révolutions du type de celle qu’engendre le Cloud.

Jadis, l’apparition des premiers « blackberry » comme celle des premiers téléphones intelligents, fut l’occasion de modifications de l’environnement, et donc des risques, pesant sur nos SI.

Le changement qu’amène le CLOUD par rapport à d’autres vecteurs comme le multi-canal, le partage de serveurs, la virtualisation etc… est un changement de degré et non de nature.

La nouveauté est que le Cloud bouleverse potentiellement, pratiquement toutes les étapes du traitement de l’information et pas seulement quelques-unes.

Pas une, mais des analyses de risques…

 Rien de nouveau donc, sous le Soleil du Cloud. Les questions qu’il soulève, ne sont pas fondamentalement différentes, de celles qu’un bon RSSI s’était déjà posées lors des bouleversements technologiques antérieurs.

La logique consistant à sécuriser son S.I. grâce à des analyses de risques, appuyées sur la référence de bon sens qu’est la norme ISO7005, supportée par les méthodes diverses qui la portent : EBIOS, MEHARI, etc… reste pertinente.

Si on ne peut parler d’analyse de risques au singulier sur le Cloud pour les raisons que nous avons évoquées, il sera néanmoins possible de réaliser des analyses de risques, au pluriel. Une analyse de risques porte sur un SI. Le cloud supporte plusieurs SI, il endossera donc plusieurs analyses de risques.

Elles permettront d’appréhender au mieux le risque d’utilisation du Cloud.

…pour avoir la tête à l’endroit !

 C’est par cette appréhension, consécutive à des analyses de risques que pourrait être décidé, en toute connaissance de cause… d’utiliser ou non le CLOUD ! Nous sommes alors dans une configuration où peut être choisi l’évitement du risque i.e. de ne pas mettre en œuvre une solution car elle est trop risquée.

Bien souvent, dans les grandes structures notamment, et les grandes administrations en particulier, la logique est inversée. Il est décidé, a priori, de ne pas utiliser le Cloud ni telle ou telle nouvelle technologie, ou alors dans des conditions si restrictives que cela revient à l’interdire. Cela alors que cette décision, qui participe d’un évitement du risque, doit normalement intervenir consécutivement à une analyse de risques, pas en préalable.

La décision d’interdiction a priori est une décision prise dans les hautes sphères, par des haut fonctionnaires nourris au biberon du principe de précaution : « surtout en changeons rien » pourrait être leur nouvelle devise. Un mur de sable est alors bâti, qui s’écroulera bien vite. Le Cloud s’instaurera, sans…. que n’eut été faite aucune analyse de risques !

« Principe de précaution, piège à c… » disait Claude Allègre.

La norme ISO27001, plus polie que l’ancien ministre de la Recherche, nous explique qu’« il conviendra » de commencer à analyser le risque avant de prendre des décisions. Les deux disent, de manière différente, la même chose.

Je connus, à la fin des années 90, une directrice d’agence qui interdisait formellement à ces agents en déplacement d’avoir… un ordinateur portable, il devait se rendre chez le client avec les informations sur le papier. Cette décision qui apparait, avec le recul, comme désormais totalement absurde, pouvait paraître très sage à l’époque. En réalité, elle ressortait clairement de cette inversion de l’analyse de risques, partir d’une possible conclusion : l’évitement du risque, au lieu de réaliser l’analyse proprement dite. Ce genre de mauvais réflexes, immatures en termes de sécurité, est fort heureusement de moins en moins répandu. Le RSSI est mieux écouté, du moins faut-il l’espérer.

Quelles analyses de risques sur le CLOUD.

 La norme ISO27005, sauf pour ses annexes, est une série de bonnes pratiques indépendantes ou presque de la technique. Sa logique reste d’actualité, la difficulté est de savoir comment l’appliquer.

Une première approche peut être, dans la droite ligne d’ISO 27005, de partir du métier.

Il peut être appréhendé le risque lié à un métier qui utilise, à un moment donné le Cloud. Ce dernier sera alors vu comme ce qu’il est : un actif support ! L’analyse de risques fera apparaître certaines failles du Cloud : celles concernant le système analysé ! Le SI analysé n’utilise pas nécessairement l’ensemble des fonctionnalités du Cloud. Nous ne disposerons donc nullement d’emblée d’une connaissance de l’ensemble des risques liés au Cloud.

Cette méthode très correcte, au sens de la norme ISO, peut être, au moins en théorie, menée progressivement. Les SI ou les applications seront analysés l’un après l’autre. Elle présente des inconvénients. Elle peut laisser passer de gros risques liés au Cloud si les applications analysées n’utilisent pas ces parties risquées du Cloud. Elle peut aussi se révéler très complexe à mettre en œuvre si, déroulant l’analyse de risque d’un SI, elle en vient à devoir mesurer le risque sur l’ensemble du Cloud au fur à et mesure qu’on « tire la bobine ».

Une deuxième approche peut envisager d’analyser tour à tour différentes parties du CLOUD, en s’intéressant aux SI qu’elles portent. Cette approche est plus technique et peut laisser de côté des risques importants liés à un métier.

Dans les deux cas, nous pourrons fournir les livrables l’ISO 27005. Suivant le modèle retenu (Interne,

IAAS, PAAS, SAAS) l’analyse s’avèrera plus ou moins ardue.

Nous avons écrit « deuxième » et non seconde approche, car il en existe bien d’autres.

La pertinence du choix ressortira bien sûr du contexte de l’entreprise, de l’importance qu’a pour elle le Cloud, de l’ampleur de son utilisation, de la capacité à mobiliser les métiers et/ou la technique, sur des analyses de risques, par exemple.

L’expertise du RSSI

 Le choix d’une bonne démarche se fera à travers un dialogue où l’expertise du RSSI sera irremplaçable, comme sa capacité ensuite, à mener ou à faire mener, les analyses de risques proprement dites.

Le RSSI sera le chef d’orchestre de la gestion du risque de sécurité, dans ce changement de rythme qu’impose l’arrivée du Cloud.

Biographie

Monsieur Malmartel est responsable, à l'Acoss (Agence Centrale des Organismes de Sécurité Sociale) de la Fonction Sécurité des Systèmes d'Information.
Il est administrateur du Clusif pour lequel il a produit un document collectif intitulé "Cellules de crises et SI" . Il a également participé, pour l'association à l'analyse de la norme ISO 27035 de gestion des incidents de sécurité. Il pilote actuellement un groupe de travail sur le "Tableau de bord de la sécurité, élément clef du dialogue entre le RSSI et ses responsables".

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.