Confidentialité des données et Clouds Publics : quelles réponses en 2022
04/07/2022
Dans mon billet précédent, j’ai commenté les annonces faites par Google et Thales autour d’un Cloud de Confiance en France, avec la création d’une entreprise commune, S3ns.
Je pensais faire une deuxième partie sur le même thème, mais j’ai décidé d’élargir le sujet pour aborder le thème de la confidentialité des données dans les Clouds Publics.
C’est l’une des questions que l’on me pose le plus souvent aujourd’hui dans mes missions d’accompagnement des entreprises dans leur Transformation Numérique.
Conséquence: un billet plus long que le précédent!
Rassurez-vous, l’annonce du Cloud de Confiance Google-Thales fait partie des réponses analysées dans ce deuxième billet.
Dans ce billet, je vais me concentrer sur les solutions IaaS, Infrastructures as a Service et PaaS, Platform as a Service. Le thème des applications SaaS, construites majoritairement sur les plateformes IaaS des Clouds Publics, ne sera pas abordé.
Le débat actuel sur les Clouds de Confiance est lui aussi centré sur les solutions IaaS et PaaS.
Une remarque avant de rentrer dans le vif du sujet: j’ai été surpris de trouver parmi les sponsors de cette journée Google - Thales, Orange et Capgemini, avec chacun un stand. Ce sont en principe les deux partenaires choisis par Microsoft pour construire leur version concurrente d'un Cloud de Confiance, sous le nom de Bleu…
Principales options
J’ai fait le choix dans ce billet d’aller à l’essentiel. Que mes amis RSSI me pardonnent si je simplifie et caricature parfois la réalité. Mon objectif est d’aider les dirigeants d’entreprises, qui n’ont pas toujours une maîtrise complète de ce sujet, à comprendre quelles sont les principales options à leur disposition, pour ne pas freiner leur migration vers les Clouds Publics.
Dans la suite de ce billet, je segmente l’offre d’infrastructures serveurs en cinq grandes familles:
- OP = “On Premise”. L’entreprise investit, en CAPEX, dans ses propres infrastructures. Ces solutions sont aussi appelées Centres de calcul privés ou Cloud Privé.
- CP = Cloud Public. L’entreprise utilise de manière “standard” les solutions proposées par les acteurs industriels des Clouds Publics, sans rajouter des solutions supplémentaires pour protéger les données.
- CP+ = Cloud Public avec un niveau de confidentialité supplémentaire. Le chiffrement des données est généralisé, en utilisant le plus souvent les clés de chiffrement AES 256, proposées et gérées par les fournisseurs de Clouds Publics.
- CP++ = Cloud Public encore plus sécurisé. Les clés de chiffrement sont gérées par les entreprises et les fournisseurs de Clouds Publics n’y ont pas accès.
- CPC = Cloud Public de Confiance. C’est une solution CP++ qui est en plus compatible avec le référentiel SecNumCloud, qui protège l’entreprise des lois extraterritoriales. Rappel: ceci n’est vrai que pour la dernière version de la norme SecNumCloud, la version 3.2.
Le point sur SecNumCloud
Dans l’annonce de sa création, S3ns a clairement indiqué qu’ils espéraient obtenir la certification SecNumCloud dans les 24 mois qui viennent. C’est le point 8 de la liste des annonces faites lors de la journée du 30 juin 2022.
Il est important de comprendre ce que représente ce référentiel.
SecNumCloud est un référentiel français géré par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. La première version est née en 2016; la version la plus récente, 3.2, existe depuis mars 2022. Cette certification est valable 3 ans; elle doit donc être renouvelée tous les 3 ans.
Au niveau européen, des travaux sont en cours pour définir une norme commune, l’EUCS : European Cybersecurity Certification Scheme for Cloud Services. Pour le moment, SecNumCloud reste une certification française.
C’est un point essentiel: SecNumCloud ne certifie pas une entreprise, un fournisseur, mais des produits et des services, et un par un.
Un fournisseur ne peut pas annoncer qu’il est certifié SecNumCloud. Il doit indiquer quels sont les services qu’il propose qui sont certifiés.
La liste la plus récente des produits et services certifiés SecNumCloud par l’ANSSI, publiée en juin 2022, est longue ; elle comprend 19 pages.
L’un des ateliers de cette journée Google-Thales était animé par l’UGAP, union d’achat du secteur public. Dans la liste des services d’informatique en nuage référencés par l’UGAP, deux d’entre eux, OVH et Outscale, avec une *, sont certifiés SecNumCloud.
J’ai regardé dans la liste de l’ANSSI quels étaient les services certifiés.
Pour OVH, il s’agit de “Private Cloud”. Cette certification, selon l’ancienne norme, devient caduque en décembre 2022. Sachant qu’OVH n’a jamais obtenu les certifications de Uptime Institute, qui définissent les niveaux Tier 1, 2, 3 ou 4 pour les centres de calcul, je trouve “surprenant” qu’OVH fasse état de sa certification SecNumCloud en parlant de leurs activités Clouds Publics.
À l’inverse, Outscale est certifié pour ses activités IaaS Cloud on demand, en clair Cloud Public. Pour Outscale aussi cette certification selon l’ancienne norme se termine en décembre 2022.
J’ai rajouté sur ce tableau OODrive qui, lui, a trois services certifiés, mais ce sont des services d’applications.
On comprend mieux pourquoi S3ns annonce qu’il lui faudra 24 mois pour obtenir la certification SecNumCloud des nombreux services Google qui seront proposés.
En résumé, chaque fois qu’un fournisseur de Cloud vous dira qu’il est certifié SecNumCloud, n’oubliez pas de lui demander… pour quels services?
Les trois principaux risques numériques
Dans un souci de simplification, j’ai regroupé les risques numériques que doit affronter une entreprise en trois familles. Ces risques existent, que l’entreprise gère ses infrastructures “On Premise” ou dans des Clouds Publics.
- Attaques sur les infrastructures, 1 dans le schéma.
- Attaques sur les données et les applications, 2 dans le schéma.
- Attaques extraterritoriales par des états étrangers, 3 dans le schéma.
Attaques sur les infrastructures
Dans ce domaine, les jeux sont faits, et depuis des années. Aucune entreprise ne peut mettre autant de ressources techniques, humaines et financières pour protéger les infrastructures que les géants du Cloud Public, tels qu’AWS, GCP et Azure.
En 2022, investir un seul euro de plus dans un centre de calcul privé est une erreur stratégique majeure. Tout dirigeant qui prend cette décision met en danger la sécurité et les finances de son entreprise.
Il y a quelques exceptions à cette règle. La principale est celle de la gestion des infrastructures physiques d’entreprises qui travaillent dans les domaines de l’énergie, du transport ou des télécommunications.
J’ai écrit un billet entier sur ce thème; je considère que c’est en 2022 le plus grand risque numérique qui menace le monde.
La bonne démarche:
- Éliminer 100% des liens entre ces infrastructures industrielles, Internet et le Cloud.
- Construire un jumeau numérique dans… les Clouds Publics.
Attaques sur les données et les applications
Ce sont les entreprises qui sont responsables de la protection de leurs données et de leurs applications, pas les fournisseurs de solutions IaaS et PaaS.
Dans l’Ancien Monde, “On Premise”, les solutions utilisées pour tenter d’assurer cette protection étaient les VPN et les parefeux périmétriques autour des centres de calcul privés.
Ces solutions ne sont plus valables dans un monde numérique moderne construit dans les Clouds Publics. Une démarche “Zero Trust” devient indispensable. Elle fait l’hypothèse que rien n’est sécurisé et qu’il faut tout contrôler:
- L’identité de la personne qui se connecte.
- Le ou les objets d’accès utilisés.
- Les différents réseaux de transport des données.
- Les droits d’accès aux différentes applications.
- ….
Une entreprise qui déciderait de basculer vers des Clouds Publics sans mettre en œuvre une démarche “Zéro Trust” prendrait des risques numériques insensés.
La bonne nouvelle en 2022: l’offre de solutions de très grande qualité permettant de construire une architecture “Zero Trust” est pléthorique.
Attaques extraterritoriales par des états étrangers
C’est “Le” sujet de tous les débats autour des risques liés à l’usage des Clouds Publics dominés par des fournisseurs américains ou chinois.
En janvier 2022, lors de l’annonce du projet d’accord entre Google et Thales, j’avais écrit un billet sur ce thème.
Je vais simplement ajouter à ce que j’ai écrit dans ce billet deux précisions:
- Aujourd’hui, les clés de chiffrement AES 256 sont inviolables. Je ne m’intéresse pas au débat théorique sur une éventuelle rupture de ces clés lorsque l’informatique quantique sera opérationnelle.
- FISA 702 permet à des organismes gouvernementaux américains de demander à des fournisseurs de Clouds Publics américains l'accès à des données appartenant à des citoyens (pas des entreprises) européens. C’est exact, mais le fournisseur de Clouds Publics peut transmettre les données chiffrées, sans avoir l’obligation de les déchiffrer!
Comme le montre la flèche 3 dans le schéma des trois risques, c’est dans ce cas, et dans ce cas seulement, que la démarche “Cloud de Confiance” proposée par S3ns prend tout son… sens. J’ai enfin compris d’où vient le nom S3ns!
Comme les infrastructures S3ns sont la propriété d’une entreprise française, Thales, les lois extraterritoriales américaines ne peuvent pas s’appliquer.
Quel niveau de confiance numérique, selon les solutions retenues
Les entreprises ne doivent pas se tromper de combat dans leurs efforts pour résister aux attaques numériques.
Plus de 99% des risques sont liés aux attaques de cybercriminels, privés ou étatiques, qui vont essayer d’exploiter les failles de sécurité qui existent dans vos infrastructures, vos applications et vos données, les flèches 1 et 2 de mon schéma initial.
Se polariser sur les attaques extraterritoriales est une grave erreur. En prenant l’analogie avec l’avenir de notre planète, se serait l’équivalent de consacrer toutes nos ressources à la protection contre l’éventuelle arrivée d’un grand astéroïde sur la terre et d’oublier les dangers immédiats que font peser les excès de gaz à effet de serre.
Dans ce graphique, j’ai résumé le niveau de confiance numérique que je donne à chaque option présentée au début de ce billet.
- OP, On Premise: j’ai mis 50%, et je suis gentil. C’est de très très loin la plus mauvaise solution pour se protéger des risques numériques réels en 2022.
- CP, Cloud Public: le niveau de confiance est au minimum de 95%, sous réserve bien sûr d’avoir mis en œuvre une démarche “Zero Trust”.
- CP+: Cloud Public avec clés de chiffrement gérées par les fournisseurs de Clouds Publics. Le niveau minimal de confiance atteint maintenant 99%.
- CP++: Cloud Public avec clés de chiffrement gérées par les entreprises. Le niveau de confiance dépasse 99,99% dans cette option.
- CPC, Cloud Public de Confiance: la sécurité parfaite n’existant jamais, j’ai mis une note de 99,9999% à la confiance que l’on peut accorder à cette option.
Choix de solutions : rationnel et irrationnel
Que les choses seraient simples si l’on vivait dans un monde rationnel!
Hélas, ce n'est pas le cas, et le numérique n’échappe pas à une montée inquiétante de l'irrationalité.
Plusieurs millions d’Américains ont partagé cette photo supposée prise avec un très puissant téléobjectif qui “prouve” que la terre est plate, car on y voit en même temps la Statue de la Liberté et la Tour Eiffel, séparées de plus de 6 000 km. 99% des Américains ne savent pas qu’il existe une réplique de la Statue de la Liberté sur l'île aux Cygnes à Paris, à moins d’un kilomètre de la Tour Eiffel.
J’ai un mépris total pour les personnes qui, sciemment, diffusent des informations aussi fausses vers des personnes fragiles qui peuvent y croire.
J’ai le même mépris pour les pseudo-experts en sécurité numérique qui diffusent des messages de trouille auprès des dirigeants, sachant très bien qu’ils sont exagérés, mais leur permettent de vendre ensuite fort cher leurs services inutiles.
Les exemples de cette irrationalité dans les décisions sont légion:
- Quelle est l’énergie qui a tué le moins de monde? Le nucléaire, ce qui n'empêche pas de trop nombreux politiques de dire le contraire.
- Quel est le moyen de transport le plus sûr? L’avion, mais des millions de personnes ont la trouille en avion et préfèrent voyager en voiture.
Je rencontre le même phénomène d’irrationalité quand je parle à des dirigeants et DSI de la confiance que l’on peut accorder aux solutions dans les Clouds Publics, français, chinois ou américains.
Quel est le pourcentage d’entreprises en France qui peuvent utiliser en toute confiance les différentes options de Clouds Publics que j’ai analysées dans ce texte, en tenant compte de leurs activités et du niveau plus ou moins élevé de protection dont ont vraiment besoin leurs données?
J’élimine bien évidemment les solutions “On Premise”, les plus catastrophiques en matière de confiance numérique!
Ce premier schéma correspond à une réponse “rationnelle” à la question.
- Pour 90% des entreprises, une solution Cloud Public de base répond très bien à leurs besoins de confiance numérique.
- Pour 9%, l’utilisation d’une solution Cloud Public +, avec chiffrement des données par les fournisseurs de Clouds publics est une excellente réponse.
- Moins de 1% ont vraiment besoin, pour une petite partie de leurs données, d’utiliser leur propre clé de chiffrement.
- 0,1% d’entreprises traitent quelques informations suffisamment confidentielles et stratégiques pour avoir besoin d’un Cloud de Confiance qui les met à l’abri d’une éventuelle tentative extraterritoriale d’accès à ces données.
Ce deuxième schéma correspond aux réactions “irrationnelles” que j’obtiens quand j'interroge des décideurs français. (Vous qui me lisez en ce moment, vous ne faites bien sûr pas partie de ces décideurs irrationnels.)
- 50% des entreprises peuvent se “contenter” d’une solution Cloud Public standard. Ce sont les TPE et PME, pas mon entreprise!
- 30% ont besoin de chiffrer les données, et la clé gérée par les acteurs du Cloud Public est une solution acceptable.
- Pour 15% des entreprises, il est impossible de faire confiance aux fournisseurs de Clouds Publics et la gestion de clés privées est indispensable.
- Enfin 5% de ces entreprises font face à un risque “majeur” de piratage de leurs données par les grands méchants Américains de la CIA ou de la NSA. Un Cloud de Confiance qui met à l’abri des lois extraterritoriales est une précaution obligatoire.
Cette vision “peu rationnelle” des risques liés à l’usage des Clouds Publics par un grand nombre d’entreprises a au moins un avantage: elle permet aux fournisseurs de solutions chères et complexes ayant comme objectif la création d’un niveau de confiance surdimensionné de se développer.
Ceinture et bretelles : les entreprises qui sont persuadées qu’elles ont besoin des deux pour “soutenir” la confiance dans leurs données seront les meilleures clientes des acteurs du marché qui tentent de créer une trouille maximale envers les solutions Clouds Publics.
Synthèse
L’annonce par Google et Thales de cette coentreprise S3ns est une excellente nouvelle pour le marché français du Cloud Public. Elle va permettre à toutes les entreprises, quel que soit leur niveau actuel de confiance dans les Clouds Publics, d’accélérer leur migration vers ces solutions.
Après cette annonce les entreprises françaises peuvent trouver toutes les réponses dont elles pensent avoir besoin:
- Cloud Public: usage direct de GCP standard de Google.
- Cloud Public +: demander à Google de chiffrer leurs données dans GCP.
- Cloud Public ++: c’est ce que propose, immédiatement, S3ns en permettant, avec les solutions de Thales, d’utiliser des clés de chiffrement dédiées.
- Cloud de Confiance: permettra, avant la fin de l’année 2024, aux entreprises qui en ont vraiment besoin de se mettre à l’abri des accès extraterritoriaux par le gouvernement américain.
Conséquence très positive: pour une entreprise qui a une démarche numérique rationnelle, il n’y a plus aucun frein qui l'empêche de basculer rapidement et massivement vers les Clouds Publics.
Pour les entreprises qui continuent à avoir une vision irrationnelle des dangers des Clouds Publics, qu’elles restent sur leurs solutions “On Premise”.
En 2030, elles se seront elles-mêmes exclues de toutes les innovations numériques qui se concentrent sur les Clouds Publics et désertent les solutions “On Premise”.
Je n’aimerais pas être à la place de leurs dirigeants en 2030…