Comment naviguer en confiance dans un écosystème désormais multicloud ?  

Le cloud de confiance diffère néanmoins de la « confiance dans le cloud » 

Les services cloud ayant obtenu la qualification SecNumCloud viennent ainsi se conformer à plus de 270 exigences définies par l’ANSSI. C’est la « confiance du cloud », dont la responsabilité est portée par le fournisseur, qui promet de fournir des garanties fortes en matière de : 

• Technologie : étanchéité du service qualifié (ex. cloisonnement des réseaux), modalités de contrôle d’accès et gestion des identités, modalités de réversibilité des données.

• Données : chiffrement, localisation des données client et opérationnelles dans l’UE. 

• Opérations : restrictions d’accès à l’information, modalités et localisation du support technique. 

• Juridiction : application exclusive du droit européen, protection contre les lois extraterritoriales, actionnariat de la maison mère. 

La « confiance dans le cloud » relève quant à elle de la responsabilité du client et fait référence aux dispositifs adoptés par les organisations clientes elles-mêmes pour notamment¹  définir une approche Zero Trust, sécuriser chaque couche de l’infrastructure via des outils adaptés et identifier des pratiques adaptées à la sensibilité de leurs données. 

Le continuum de confiance : un arbitrage entre innovation et maîtrise des risques  

Pour les organisations, la priorité demeure l’établissement d’un juste milieu entre l’amélioration de la performance, le développement de l’innovation et la maîtrise des risques.² Dans une stratégie qui s’impose souvent comme multicloud, les solutions cloud de confiance viennent compléter les offres à disposition des organisations pour faciliter la continuité et la portabilité : 

Les services de cloud public offrent des usages innovants à forte valeur ajoutée (ex. GenAI). Ils sont principalement offerts par des acteurs américains ³ ; néanmoins, afin de répondre aux besoins de confiance et de réassurance des organisations, leurs propositions en matière de sécurité se sont renforcées : 

• Hébergement et sécurité à la carte : des offres permettent davantage de contrôle sur l’emplacement des données au sein de l’Union Européenne, proposent des modalités de chiffrement et de gestion des clés ainsi que des services cloud-native de sécurité et de gestion des identités. Ces services additionnels sont souvent regroupés sous des approches plus globales comme l’EU Data Boundary chez Azure ou le Sovereignty Pledge chez AWS. Dans une logique de conformité avec les réglementations européennes, ces services et leur positionnement s’adaptent rapidement (ex. début 2024, suppression des egress fees en cas de migration vers un autre service cloud / de résiliation).

• Services dédiés aux charges sensibles : des offres « d’informatique confidentielle » permettent de protéger (de chiffrer) les données en cours de traitement en les isolant dans un environnement sécurisé (Nitro Enclaves chez AWS, Confidential VMs sur Azure et Confidential VM Instances sur Google Cloud Platform).  

• Interopérabilité et solutions déconnectées : des solutions favorisent l’interopérabilité et la gestion multiclouds (ex. Azure Arc) et s’articulent avec des solutions “déconnectées” ou ancrées dans l’open-source, telles que Microsoft Azure Stack Hub, AWS EKS Anywhere ou Google Cloud Distributed Hosted. Elles rendent possible d’étendre l’empreinte du cloud dans des environnements locaux ; néanmoins, les catalogues de services sont plus restreints en raison des exigences d’isolation induites par ces modèles. 

Les services de cloud de confiance – aujourd’hui ayant obtenus le visa de sécurité de l’ANSSI – sont principalement fournis par des sociétés européennes, notamment françaises. On distingue deux typologies d’acteurs : 

• Acteurs de confiance : des sociétés comme Bleu ou S3NS visent à proposer un catalogue de services entièrement qualifié SecNumCloud « par design », fondés sur des technologies d’hyperscalers. 

• Services unitaires de confiance : des offres SecNumCloud comme Hosted Private Cloud d’OVHCloud visent à fournir un service qualifié pour une durée de 3 ans (renouvelable). Néanmoins, des acteurs comme OVHCloud annoncent leur volonté d’étendre la qualification SecNumCloud à leur portefeuille complet de services cloud. 

Conclusion

Ces futures offres comportent déjà des services différents et il faudra sélectionner celles qui répondront à la fois aux cas d’usages métiers et IT tout en tenant compte de l’intimité éventuelle ou empreinte existante de l’organisation avec les technologies sous-jacentes. Les (nouveaux) enjeux réglementaires sont également à intégrer au sein de la réflexion (ex. schéma de certification européen – EUCS – en cours de réflexion).  

Pour préparer la migration vers ces solutions, cinq étapes critiques sont recommandées : 

1. Diagnostiquer l’existant : évaluer la maturité IT et organisationnelle. 

2. Réaliser ou actualiser l’inventaire applicatif – afin notamment classifier les données selon leur sensibilité. 

3. Prioriser les cas d’usages : identifier les besoins IT et métiers et les aligner avec les autres enjeux stratégiques de l’entreprise (part de marché, obsolescence IT, innovation, RSE, etc.)

4. Étudier les catalogues de services : analyser les offres du marché et tester via des PoC (proof of concept) 

5. Actualiser la stratégie cloud : définir une feuille de route avec planning, business case et identification des impacts organisationnels. 

1. Cybersécurité et cloud de confiance, un mariage de raison, Capgemini, 9 mars 2023  ↩︎
2. Les risques adressés par le cloud de confiance, Capgemini, 25 octobre 2022 ↩︎
3. En 2022, 72% des dépenses cloud en Europe sont destinées à Amazon, Google ou Microsoft – Source : European Cloud Provider Share of Local Market, Synergy Research Group, 27 septembre 2022 ↩︎