Un groupe de travail sur les enjeux de la sécurité du Cloud.

Des groupes de travail se succèdent afin de partager des conseils et bonnes pratiques sur la sécurité des usages du Cloud ainsi que la poursuite des travaux sur le confidential computing en 2023. 

2 sujets distincts ont été abordés :

1)     Préparation d’un pitch de l’ANSSI (qui aura lieu le 20/04 à 17h30) sur SecNumCloud en se focalisant sur les questions qu’ont les adhérents concernant cette 0

Pitch SecuNumCloud ANSSI – questions adhérents

Généralités sur son exploitabilité :

  • Apport de cette qualification par rapport à une certification ISO 27001?
  • Cibles qualifiables ? Juste IaaS/PaaS ou aussi SaaS ? les CSPs américains sont-ils qualifiables (a priori non) ?
  • Pourquoi est-ce que la qualification prend autant de temps (4 ans à priori) ? Est-il prévu des actions pour réduire ce délai ?
  • Dans quelle mesure cette qualification traite-t-elle la notion de sécurité juridique ?

Ce qu’apporte cette qualification vis-à-vis des utilisateurs de services cloud pour se protéger contre les lois extraterritoriales américaines ( Executive Order 12333, FISA 702, Cloud Act ) dans le cadre d’un recours aux services un CSP américain ?

  • Par exemple, lors d’une présentation en avant-première de l’offre S3NS de Thales en 2022, qui annonçait être en cours de qualification SecNumCloud 3.2, j’avais noté les points d’attention suivants :
    • Le matériel utilisé est celui de Google, les logiciels implémentant les services managés sont ceux de Google
    • Le support niveau 3 est assuré par les équipes Google à Accès possible aux données donc ?
    • Les MAJ Google sandboxées mais sans plus de détails sur les contrôles effectués avant déploiement

Comment se positionne cette qualification par rapport aux technologies de protection « data in-use » (Confidential Computing) ? 

  • Est-il prévu de les inclure comme recommandation / mesure technique implémentable pour protéger les données confidentielles et répondre à une exigence particulière?

Lien avec les approches existantes en matière d’analyse de risque sur le cloud

  • Approche CCM : Cloud Control Matrix
  • Approche de la Cloud Security Alliance (US)

Vision EU

  • Comment cette qualification s’inscrit dans un éventuel schéma au niveau européen ?
  • Y-a-t-il des équivalences avec d’autres qualifications chez d’autres états européens ?
  • Ou bien y-a-t-il une volonté d’harmonisation à l’échelon européen ?  Quels rôles jouent des acteurs comme l’ENISA, etc… ?

2)    Démarrage d’une étude des solutions de générations de données synthétiques existantes/ à construire , open source/commerciales

Parcours proposé - vue d'ensemble

Cas d’usage: Données à synthétiser en priorité

La cybersécurité est une préoccupation croissante pour les entreprises et les organisations de toutes tailles. Avec la montée des cybermenaces, il est essentiel d’avoir une stratégie en place pour protéger les données et les systèmes contre les acteurs malveillants.

Une façon d’y parvenir est de synthétiser les données comme une priorité en matière de cybersécurité. Cela implique de collecter, d’analyser et d’interpréter des données provenant de diverses sources afin d’identifier les menaces et les vulnérabilités potentielles.

Ce faisant, les organisations peuvent mieux comprendre leur posture de sécurité et prendre des mesures pour atténuer les risques potentiels. De plus, la synthèse des données peut aider les organisations à détecter les anomalies pouvant indiquer une activité malveillante ou un comportement suspect. En outre, il peut fournir des informations précieuses sur la manière dont les attaquants ciblent leurs systèmes et réseaux afin qu’ils puissent prendre des mesures proactives pour se protéger contre de futures attaques.

DCP (Données à Caractère Personnel) :

  • Données tabulaires et structurées: exemple des DCP courantes
    • Identité pivot: Nom, Prénom(s), Sexe, date et lieu de naissance
    • Coordonnées de contact: email, numéro de portable, adresse postale
    • Autres identifiants: IBAN, numéro de Carte bancaire, numéro de compte bancaire, numéro CNI, numéro de Passeport
  • Autres données perçues comme sensibles : 
    • ex: timeline bancaire
  • Données Interdites au titre de l’article 9 du RGPD
  • Données professionnelles

Etude des solutions

Les adhérents de l’association Ocssimore ont cherché des solutions de points d’entrée. Leur réflexion a mené à plusieurs pistes :

  • Partenariat CYSEC/Syntheticus ou encore Sogeti.

Ils ont aussi mis en exergue des points d’attention comme :

  • les supports de données FR
  • les fournisseurs créant un risque de transfert
    extra-EU

Lancement d'un plan d’actions proposé en séance

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *