En octobre dernier, l’ANSSI lançait un appel à commentaires dans le cadre de la révision de son référentiel SecNumCloud, qui vise à affirmer les critères définissant un Cloud de confiance. Ayant été parmi les trois premières sociétés à obtenir ce précieux sésame, 3DS OUTSCALE a souhaité contribuer à cet exercice d’itération en rédigeant plusieurs commentaires sur le nouveau projet. Notre objectif : préciser la formulation de certaines exigences, en vue de proposer un référentiel présentant le moins de latitude possible en matière d’interprétation, et ainsi en faire un label de confiance, applicable et robuste. Une contribution qui s’inscrit dans la continuité de notre dialogue constructif engagé depuis 3 ans avec l’ANSSI.
CaaS : une définition vraiment utile ?
L’une des modifications sur laquelle nous avons souhaité apporter notre commentaire concerne l’introduction de la définition des activités de type CaaS – Container as a Service -, dans le nouveau référentiel. Nous estimons que la définition proposée introduit un risque de confusion entre les périmètres IaaS et PaaS en partant du principe qu’un service de CaaS est forcément basé sur du IaaS. Nous comprenons bien la volonté de l’ANSSI d’intégrer ces cas devenus usuels sur le marché. Toutefois, la pyramide déjà érigée dans le référentiel actuel – IaaS, SaaS, PaaS – nous semble largement suffisante. Surtout, la définition du CaaS telle qu’elle est formulée dans le projet est à même de créer une certaine confusion entre les fournisseurs déployant des services conteneurisés (assimilés plutôt PaaS) versus des fournisseurs de services de conteneurs (assimilés plutôt IaaS) : « Ce service concerne la mise à disposition d’environnements d’exécution permettant le déploiement et l’orchestration de conteneurs. Le commanditaire n’a pas la maîtrise de l’infrastructure technique sous-jacente (réseau, stockage, serveurs, système d’exploitation), gérée et contrôlée par le prestataire. Le commanditaire a cependant la maîtrise des outils systèmes, bibliothèques, intergiciels, et du code de l’application. » Nous ne sommes donc pas convaincus de l’intérêt de l’intégrer de cette manière dans le futur référentiel.
Des exigences soumises à interprétation
Autre sujet complexe, dont l’ANSSI a le mérite de se saisir : celui de la clarification des exigences autour des réglementations extra-communautaires. Concrètement, l’ANSSI précise dans son texte qu’une entreprise qualifiée devra respecter certaines règles, afin d’éviter que des acteurs situés en dehors de l’Union européenne ne disposent de trop de voix dans son conseil d’administration. Or, cette exigence ne prend pas en compte la possible évolution de cet actionnariat dans le temps, la rendant difficile à auditer et à appliquer.
Toujours sur ce sujet, nous avons remonté un autre commentaire qui vise cette fois l’appréciation de la conformité au référentiel. Dans le texte tel qu’il nous a été soumis, cette conformité « pourrait » être revue en fonction des relations qu’une entreprise entretiendrait avec des entités situées en dehors de l’Union européenne. Sur quels critères ? L’exigence n’en mentionne aucun, ouvrant donc la voie à l’interprétation. Une situation inacceptable dans un référentiel où tout doit être, par principe, reproductible.
Alléger sans les supprimer les contrôles d’accès aux infrastructures qualifiées
Dans sa version initiale, le référentiel SecNumCloud, précise que lorsqu’un incident survient sur une infrastructure qualifiée, un prestataire extérieur ne peut pas intervenir directement à distance pour réaliser un diagnostic. Une décision qui se révèle contraignante dans certains cas. Le nouveau référentiel cherche à prendre en compte cette difficulté et propose des options pour gérer ce genre de situation. C’est une bonne chose a priori. Cependant, on note un problème sur la forme que prend cette nouvelle exigence. Celle-ci sous-entend en effet, dans sa formulation actuelle, que toutes les mesures de sécurité mises en place pour protéger le système d’information dans les conditions nominales du référentiel pourraient être contournées dès qu’une situation exigerait l’intervention d’un tiers. Elle semble ainsi créer une dérogation importante qui pourrait être exploitée par des acteurs peu scrupuleux, décidant d’opérer le service dans un mode qui n’est pas celui souhaité initialement par l’ANSSI. Le texte devrait donc édicter les conditions d’accès de manière claire ou, à défaut, renvoyer aux exigences du référentiel qui en font mention. De notre côté, nous préconisons de rester dans un mode purement dérogatoire et justifié tout en allégeant les contraintes d’accès par des tiers, afin de permettre une meilleure réactivité face aux incidents.
Une nouvelle version qui doit renforcer encore la confiance
Le dernier sujet introduit par le nouveau référentiel, et sur lequel nous avons souhaité émettre un point de vigilance, porte sur le renforcement des obligations d’audit pour tous changements majeurs sur l’infrastructure, par un prestataire externe qualifié. Dans l’absolu, il s’agit là d’une bonne décision. Attention toutefois à ce que cela n’engendre pas des coûts qui pourraient très vite être assez exorbitants. De plus, même si le marché des auditeurs qualifiés par l’ANSSI s’est beaucoup étoffé ces dernières années, il reste difficile de déclencher rapidement ce type de démarche.
En conclusion, cette évolution du référentiel SecNumCloud nous semble aller dans le bon sens et nous saluons le travail conséquent déjà accompli par l’ANSSI. Son appel à commentaires a été l’occasion pour tous les acteurs concernés d’exprimer leur avis et d’itérer pour parvenir à la rédaction de nouvelles exigences qui, demain, feront consensus. Cette initiative exemplaire doit permettre à l’ANSSI de tendre vers plus de rigueur et d’éviter tout risque d’interprétation qui pourrait, à terme, nuire à la crédibilité même du référentiel. La qualification SecNumCloud est aujourd’hui considérée comme l’une des plus exigeantes et représente, pour ceux qui l’obtiennent, un véritable élément de différenciation. Si nous avons choisi de nous lancer en pionnier dans cette qualification chez 3DS OUTSCALE, c’est bien parce que nous avons la conviction qu’elle est source de valeur ajoutée pour notre activité et nos clients. Ainsi, nous espérons que l’ANSSI prendra en compte les remarques des différents contributeurs. Lorsque la nouvelle version sera approuvée, chaque entreprise devra pouvoir se dire, en la lisant, qu’elle définit clairement ce qu’est un Cloud de confiance !
