IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

SecNumCloud : l'ANSSI adapte son référentiel au Cloud de confiance, qu'est-ce qui change ?
Le nouveau référentiel s'arme contre les lois extracommunautaires

Le , par Bill Fassinou

21PARTAGES

9  0 
Les travaux sur la mise à jour du référentiel SecNumCloud sont maintenant terminés. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié la semaine passée la nouvelle version (3.2.a) de son référentiel d’exigences applicables aux fournisseurs d’informatique en nuage pour la certification SecNumCloud. Elle le fait dans le cadre d’un appel à commentaires, avec la possibilité de répondre jusqu’au 15 novembre 2021. La mise à jour du document vise à renforcer les garanties juridiques du référentiel à cette période et servira de cadre de préparation pour l'arrivée du label "Cloud de confiance".

L'ANSSI durcit les critères de la qualification SecNumCloud

SecNumCloud est une qualification de sécurité mise en place par l’ANSSI à destination des opérateurs cloud, qui proposent des services PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). L'ANSSI explique que l’objectif est de proposer une « approche centralisée » plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire. Pour être qualifié SecNumCloud, un prestataire doit prouver que son service respecte les bonnes pratiques listées dans le référentiel. Sa conformité est vérifiée par des prestataires d’audit également approuvés par l’ANSSI.



OVHcloud, le fournisseur français de services d'informatique en nuage, a obtenu la qualification SecNumCloud en janvier pour son offre "Hosted Private Cloud". Suivant les recommandations de l'ANSSI, OVHcloud a mis en place pour cette nouvelle offre des procédures de sécurité physique, organisationnelle et contractuelle renforcées qui garantissent pour le client final. Les garanties de souveraineté des données de l'offre Hosted Private Cloud auxquelles s’ajoute désormais le Visa de Sécurité pour SecNumCloud la rendent adaptée à l’hébergement des données sensibles des organisations, telles que les données de santé, les données financières, etc.

La première version officielle du SecNumCloud remonte à 2016. SecNumCloud est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Cependant, il ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud. SecNumCloud a été ensuite révisé en 2018 pour aboutir à sa version 3.1. Ce processus a également permis à l'ANSSI de la rendre compatible avec RGPD (Règlement général sur la protection des données). C'est la version qui est actuellement utilisée.

La version 3.2 du référentiel est maintenant disponible en ligne et apporte plusieurs modifications, notamment des orientations sur la façon dont une entreprise peut s'organiser pour se placer hors d'atteinte des lois extraterritoriales, telles que le Cloud Act américain, le FISA ou l’Executive Order 12333. La nouvelle version est un document de 53 pages (plus 3 pages d'annexes) qui prend également en compte le CaaS (Container-as-a-Service). Elle est soumise à un appel jusqu'au 15 novembre 2021 et les commentaires et propositions seront transmis par courriel à l’adresse "qualification@ssi.gouv.fr".

Les critères de l'immunité aux lois extracommunautaires

Dans les modifications apportées au référentiel, de nombreuses sections (principalement le nouvel alinéa 19.6) précisent les protections juridiques que doivent garantir les entreprises souhaitant bénéficier de l'éligibilité à SecNumCloud. Une nouvelle section intitulée "Immunité au droit non communautaire" précise que le siège social du prestataire de services doit être établi dans un État membre de l'UE. De même, le texte précise que les actionnaires de l'entreprise doivent respecter certaines règles, afin d'éviter que les entreprises situées en dehors de l'UE ne disposent de trop de voix au conseil d'administration.

« Le siège statutaire, administration centrale ou principal établissement du prestataire doit être établi au sein d'un État membre de l'UE. Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement : individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’UE », indique le document. En outre, les fournisseurs de services qui ne sont pas dans l'UE n'ont pas le droit d'accéder aux données pilotées par le service.

Les données sont entendues ici au sens large en incluant toutes les données techniques (journaux de l’infrastructure, annuaire, certificats, configuration des accès…). « Le service fourni par le prestataire doit respecter la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit », rappelle le document. En outre, l'ANSSI a également ajouté une nouvelle section au référentiel portant sur l’appréciation des risques. Elle impose désormais deux obligations au prestataire.

Premièrement, il doit « lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable ». Et deuxièmement, il doit « mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état non membre de l’Union européenne ».

La version 3.2 contient d'autres modifications majeures

SecNumCloud sera en fait le lieu de travail pour la labellisation du "Cloud de confiance", qui vise à fournir aux opérateurs français les services d'acteurs américains tels que les infrastructures gérées par l'UE et les entreprises de droit européen, comme Google ou Microsoft. La question du droit anti-communautaire n'est pas une préoccupation nouvelle pour les responsables, mais elle est revenue sur le devant de la scène avec l'arrivée du label "Cloud de confiance" et l'émergence de programmes européens de certification du cloud.



Derrière cette période, on voit des dispositifs législatifs comme le Cloud Act, qui permettent à l'administration américaine d'accéder aux données fournies par des acteurs américains ou sur le sol américain. En sus, les changements apportés au référentiel tiennent également compte de nouveaux usages, et principalement des services CaaS (Container as a service).

Ces services concernent la mise à disposition d’environnements d’exécution permettant le déploiement et l’orchestration de conteneurs. Celles-ci viennent s’ajouter aux services Saas, PaaS, et IaaS. Plus loin, le nouveau document apporte des modifications concernant la sécurité des ressources humaines. Il renforce la vérification des informations relatives au personnel.

Un programme de certification européen

SecNumCloud étend ses règles pour prendre en compte ce nouveau scénario et éviter de mettre en danger les données des utilisateurs, afin de permettre aux sociétés françaises de proposer des offres de "cloud de confiance" qui associent des acteurs américains comme Google ou Microsoft. Si l'évolution du front français se fait en douceur, cette matière n'a pas encore été pleinement vérifiée au niveau européen. Au sein de l'UE, l'adoption de la loi sur la cybersécurité a ouvert la voie à la mise en place d'un programme de certification européen demandé par de nombreux acteurs.

Cependant, les États de l'Union ne se sont pas encore conformés aux règles de l'équivalent européen de SecNumCloud. Pour l'ANSSI, il ne s'agit pas d'un signe pour autant. « Pour les services et les données importants, seul le droit européen s'applique, pas le droit européen du cloud ou autre. Si nous ne pouvons pas faire cela, il serait tout à fait inutile de parler de souveraineté européenne », a déclaré le directeur général de l'ANSSI, Guillaume Poupard.

Source : SecNumCloud version 3.2.a (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des modifications apportées au référentiel SecNumCloud ?

Voir aussi

L'ANSSI revoit ses recommandations en matière d'authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020

Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés. Cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles

OVHcloud obtient le Visa de sécurité ANSSI pour sa qualification SecNumCloud, une reconnaissance de sécurité renforcée pour l'hébergement de données sensibles et stratégiques dans le cloud

Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre extrêmement actif https://www.developpez.com
Le 27/10/2021 à 0:30
Bonjour

L’ANSSI revoit ses recommandations en matière d’authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020, par Marc Turbé, Marketing Manager, Specops Software

Que pensez-vous de ces recommandations de l'ANSSI ?
Plutôt d'accord sur le fait d'orienter vers "la passe phrase".

Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :

« ce que je sais », le mot de passe ou la phrase de passe
« ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
« ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique
C'est cool , on dirait que l'ANSSI à lu la tribune-débat que j'avais fait fin 2019 : https://tanaka.developpez.com/gestio...mots-de-passe/

Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?
Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.
L'idée de fond est de faire "exploser" le temps de décryptage d'un mdp , en cas de tentative de désanonymisation de la bdd piraté ... Plus c'est long, plus cela mettre du temps a être "cassé". On ralentit donc le process frauduleux.

Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée

Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :

catégorie de mots de passe;
Une astuce simple > utiliser des mots de passes en langues étrangères ou en phonétique ... On se choisit une thématique et il devient difficile pour un pirate de tenter la moindre désanonymisation .

longueur des mots de passe;
Clairement, comme dit plus haut , tendre vers une passe phrase, facile à retenir ... longue

règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;
C'est un peu le B A BA, cependant, cela est une bonne piqure de rappel . "Casser la logique de départ d'une chaine". Ainsi cela augmente encore le score de "sécurité" pour contrer toute désanonymisation .

mécanismes de limitation d’essais d’authentification;
Contrer le force brute, pour jarter un malveillant est essentiel. Au delà de X tentative , c'est simplement bloquer pour X heures toute connexion.

méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;
Avoir une adresse alternative en cas de problème, ou alors un numéro de gsm/fixe .
2  0