Aujourd’hui, différents phénomènes, plus ou moins voulus expliquent les risques de cybercriminalité annoncés pour 2021.
L’accélération de la transformation numérique et l’explosion du télétravail pendant la crise sanitaire complètent un processus d’externalisation dans le Cloud déjà bien engagé depuis quelques années. Les usages évoluent, tant dans la manière de travailler à distance que dans la mise à disposition des données. Dans ce contexte, de nouveaux enjeux liés à la cybercriminalité apparaissent. La cybercriminalité n’est pas nouvelle, mais l’ampleur des attaques et les failles de sécurité augmentent de jour en jour. De nombreux outils existent pour sécuriser les systèmes d’information, mais la généralisation du télétravail augmente les risques de vulnérabilité. L’erreur humaine liée à l’utilisateur, le manque de ressource « sécurité » au sein des organisations ainsi que la multiplication des dispositifs de connexion restent, en effet, des facteurs de risque de cybercriminalité.
L’Agence nationale de la sécurité des systèmes d’information, ANSSI met en avant sur son site l’accroissement du niveau de la cybermenace en France et en Allemagne (3ème édition du rapport franco-allemand « Common Situational Picture » de l’ANSSI et du Bundesamt fûr Sicherhait in der Informationstechnik- BSI). Selon ce rapport, le nombre de victimes de cyberattaques a été multiplié par 4 en 2020, phénomène préoccupant dans un contexte de crise sanitaire pendant laquelle les échanges via internet s’intensifieront.
La cybercriminalité concerne en premier lieu les services de l’Etat et plus particulièrement ceux visant la sécurité nationale. Mais, la recrudescence des attaques de type « rançongiciel » et l’hameçonnage concerne autant les services publics que les entreprises privées. Le premier objectif de ces attaques est un but lucratif, rien ne présage donc d’une diminution, bien au contraire. De nouvelles mesures de protection s’imposeront alors pour les entreprises et organisations confiant leurs données dans le CLOUD.
Face à cette problématique, l’ANSSI a mis en place une nouvelle qualification en matière de respect de la sécurité grâce au référentiel SecNumCloud. S’appuyant à 75% sur la norme ISO 27001, la qualification SecNumCloud ajoute de nouvelles exigences en matière de sécurité et spécifiques aux Cloud Providers. Ce qui explique la difficulté pour accéder à une telle qualification et le nombre restreint d’élus. Ce référentiel concerne à la fois la sécurité physique des locaux, les technologies utilisées, l’habilitation des personnes à intervenir sur l’offre qualifiée, l’organisation et l’aspect contractuel.
Que les prestataires proposent des services PaaS, IaaS, ou SaaS, ils pourront par la qualification SecNumCloud mettre en avant dans une démarche normalisée les exigences de sécurité liées au référentiel. Le référentiel SecNumCloud est obtenu pour une durée de trois ans et fait ensuite place à des audits de surveillance tous les 18 mois. Un prestataire SecNumCloud prouvera ainsi que son système respecte les bonnes pratiques en matière de sécurité, système dont la conformité est vérifiée par des prestataires d’audit approuvés par l’ANSSI. Pour un client, choisir un prestataire Cloud certifié SecNumCloud c’est la garantie d’une sécurité supérieure avec une détection des incidents en temps réel, le chiffrement et cloisonnement des données, d’une anticipation des risques physiques et techniques afin de mettre les moyens en œuvre pour les limiter, d’un contrôle des accès physiques et logiques, d’une gestion des identités renforcée, d’une conformité aux exigences RGPD.
Il paraît indéniable que l’externalisation dans le Cloud de données parfois critiques et sensibles ainsi que l’hybridation de clouds privés et publics vont amener les clients des Clouds Providers à être de plus en plus exigeants en matière de sécurité et traçabilité. Pour ces clients, acteurs du secteur public ou entreprises privées, choisir un fournisseur de Cloud SecNumCloud sera un gage supplémentaire de fiabilité et pourra faciliter le processus de qualification. La démarche de sélection d’acteurs SecNumCloud peut aussi être un moyen de se protéger contre le Cloud Act. En effet, le référentiel SecNumCloud préconise le choix de partenaires français, capables d’héberger les données sur des serveurs installés en France et donc soumis à la législation française.
Groupe Hisi associe son expertise métier au savoir-faire technologique d’OVHcloud https://www.groupehisi.fr/blog/groupe-hisi-devient-advanced-partner-ovhcloud/