Très bonne lecture de fin de journée avec cet article par Tariq Krim. J’ai beaucoup apprécié l’analyse, l’avertissement et les questions posées plus que légitimes et pertinents. Mais aussi le format et la concision de l’article que je vous invite à lire.

J’aimerais ajouter à cette analyse et ses propositions que le #SecNumLite (j’ai bien aimé l’originalité du terme 🤓) existe en fait tacitement déjà même s’il n’est pas formalisé par le référentiel qui mériterait à l’occasion de cette formalisation peut-être quelques allégements/précisions ci et là. Il existe en effet à travers le principe de composition.

SecNumCloud et FOMO des CSP français

Ceux des Cloud Services Providers (CSP) français qui se ont été visionnaires et ont bravé le risque et la complexité de la qualification #secnumcloud n’ont pas à s’inquiéter énormément des implications du projet de loi #SREN (sujet qui a dû occuper quelques conversations aux Universités d’été de la Cyber et du Cloud de Confiance #UECC organisée par Hexatrust).

A ceux qui voient le vent tourner et qui vivent le dilemme du Fear of Missing Out (FOMO) versus la difficulté perçue de lancer le projet de qualification, sachez que SecNumCloud :

👉 Est certes un référentiel exigeant qui nécessite probablement un peu de précisions ou en tout cas gagnerait à être plus clair sur la capacité à ce qui est “conforme” de ce qui ne l’est pas.

👉 Mais il impose des bases de sécurité qui pour plus de 70% relèvent de l’hygiène cyber et qu’il n’est pas impossible de passer la barre de la qualification si on est bien accompagné.

👉 Ne parle pas clairement d’un mécanisme fondamental (en tout cas dans la décision stratégique de se lancer dans la qualification ou non) qui est entré dans la pratique et qui est le principe de composition.

👉 Bénéficie fortement des efforts préalables de certification ISO27001 et éventuellement HDS. Si vous n’avez pas encore obtenu ces certifications, commencez par là (certains les font en parallèle d’un lancement sur SecNumCloud).

SecNumCloud responsable d’un freinage de l’innovation ?

En un mot : je ne pense pas. De toute façon, les offres Cloud françaises sont moins performantes que celles des GAFAM. C’est un fait. Il reste des défis à relever pour être compétitifs vis à vis des GAFAM.

Dans son article, Tariq Krim met le doigt sur une des raisons majeures : c’est qu’il y a une différence massive dans la quantité d’argent injectée dans les Clouds français par rapport aux GAFAM et que la commande publique est insuffisante.

Rappelons ce constat que j’avais fait dans un article que j’ai commis sur LinkedIn à la suite des annonces de Bruno LE MAIRE et de la doctrine Cloud au Centre : Nous manquons d’acteurs #PaaS qualifiés SecNumCloud pour faciliter l’agilité et encore plus accélérer l’adoption de ce référentiel par les start ups ou PME.

Pourquoi ? Et bien c’est la conjonction de trois réalités :

🔦 C’est dans ce mode #PaaS en effet qu’il est le plus difficile de marier la technologie et les exigences du référentiel. Sans conseil, expert la recherche de la conformité au référentiel pervertit le design des services à tel point que au mieux on sacrifie la valeur ajoutée et la flexibilité qu’on aurait pu offrir aux consommateurs du Cloud avec des technologies comme OpenShift ou Kubernetes et au pire : on se demande parfois si c’est encore bien du cloud.

🔦 Les acteurs qui construisent les solutions #PaaS françaises sont des PME avec beaucoup moins de moyens et de capacité de prise de risque de développement technologique/de transformation que les “gros” qui ont obtenu la qualification #IaaS (3DS OUTSCALE, Cloud Temple, OVHcloud et Worldline) et qui de toute façon ne se sont pas immédiatement aventurés sur le PaaS pour la raison citée au point précédent.

🔦 Il y a – à ce jour – très peu de retour d’expérience sur l’évaluation SecNumCloud d’un PaaS. Il faut attendre que certains aient passé l’épreuve du feu et y aient survécu.

SecNumCloud en mode composition : c’est déjà du #SecNumLite

C’est de ce principe que je souhaite parler ici. Il veut qu’un acteur du Cloud (notamment de petite taille par rapport à l’ampleur du défi) qui souhaite se faire qualifier a tout intérêt à se faire héberger chez un qualifié SecNumCloud sur les couches inférieures et cela simplifie significativement sa démarche de qualification.

Contrairement à un allègement des exigences et contrôles du respect de ces exigences (et donc de la confiance in fine) comme c’est le principe des niveaux essentiel et standard d’#EUCS, là on parle d’un empilement de ces contrôles qui quand ils ont été faits sur les couches inférieures, ne sont plus à faire. Et, mine de rien, ont reçu un vrai tampon #ANSSI très sérieux.

Au même titre que la critique qu’on peut opposer à #EUCS sur l’introduction de niveaux (basique, essentiel et avancé) et qui pourrait simplifier la vie aux candidats pour avoir le tampon, on pourrait argumenter et se demander si :

• Cela aide vraiment à débrider la capacité d’innovation : pas tellement l’impression,
• Cela ne risque pas de rendre le paysage de la confiance encore plus confus. Il est facile d’imaginer les machines des services marketting fonctionnant à fond et vendant du “basique” comme si c’était de l’“avancé” à des clients peu capables de challenger les intrications du référentiel.

Bien entendu, selon les technologies, ces scénarios ont plus ou moins de sens pour le lecteur. Mais il est clair que l’un d’entre eux est sûrement le plus intéressant car il est le moins correlé aux technologies : c’est le cas D où un SaaS se fait héberger chez un IaaS.

La composition d’un PaaS sur un IaaS est également intéressantes et il revient au PaaS finalement de faire l’effort sur les fonctionnalités offertes aux utilisateurs finaux pour commencer à apporter une compétitivité avec les GAFAM.

Pour autant, il est déjà possible d’apporter de la confiance et de la souveraineté sans avoir forcément besoin de passer par la case qualification ! Pour cela, il suffit d’être hébergé par un IaaS ou un PaaS qualifié. Je ne mets pas ici toutes les combinaisons possibles de possibilités de composition parce qu’à l’heure actuelle : seuls des IaaS peuvent servir de SecNumCloud sous-jacent.

Des choses en cours de développement donnent de l’espoir

On n’y est pas tout à fait mais les belles choses que je vois en cours de développement chez plusieurs acteurs Français montrent qu’on rattrape petit à petit.

D’abord : plusieurs fonctionnalités comme le stockage S3, le KMS as a Service, l’IAM as a Service etc. arrivent et ont le bon goût d’être conçues avec de fortes exigences de sécurité issues du substrat SecNumCloud.

Il y a également plusieurs acteurs #PaaS en cours de qualification et –guess what– en mode composition pour la plupart. C’est par exemple le cas de Scalingo qui construit son futur PaaS sur la base du IaaS SecNumCloud d’Outscale.

Enfin, certains acteurs tels que Wimi vont très bientôt offrir une suite bureautique collaborative proche de Office365 fonctionnellement tout en ayant fait l’immense effort de gérer l’ensemble de leur stack et donc sans le mode composition. Cela dénote d’une très forte volonté et a nécessité des innovations et une intégration de solutions sans précédent qui ont pourtant inclut les difficultés SecNumCloud.

Soyons proactifs

L’idée pour être proactifs serait donc de booster l’adoption de ce principe de composition avec non seulement plus de communication autour de celui-ci mais aussi avec les propositions suivantes pour une potentielle v3.3 du référentiel :

💡 Pleinement embrasser ce principe qui s’est manifesté et imposé dans la pratique et donc d’en définir clairement les mécanismes et d’entériner les gains simplificateurs en matière de qualification d’un cloud sur-jacent quand le sous-jacent est qualifié.

💡 De beaucoup plus préciser certaines exigences techniques pour mieux guider les phases de build et la mise en conformité : notamment sur les problématiques de cloisonnement.

💡 De mieux fournir le référentiel (Peut-être avec des fiches techniques en annexe ?) quant à la sécurité et la conformité des portées #PaaS et #CaaS car il n’est pas du tout évident de savoir comment son implémentation de Kubernetes (pour ne citer que cette technologie) pourrait être conforme/sécurisée.

💡 D’encourager fortement les détenteurs de qualification IaaS et PaaS à promouvoir l’hébergement de PaaS et de SaaS sur-jacents en leur fournissant des capacités d’intégration adaptées et sécurisées voire en allant jusqu’à packager ces intégrations avec des patrons de conception conformes.

💡 D’introduire des niveaux d’exigence “dégradés” pour les données non critiques (cf. les dessins tablette de Tariq Krim dans son article), mais en étant très clairs sur quelles données et traitements peuvent être acceptés dans ces modes dégradés de sécurité.

💡 D’encourager l’interopérabilité (mais je m’arrête là sur ce point qui mérite son propre article !).

Se doter d’une aide experte

Rappelons que l’ANSSI et BPi ont lancé le guichet d’accompagnement SecNumCloud qui est une aide tout à fait significative et quelle que soit l’interprétation de son timing ou de son intention perçue, est un game changer pour les acteurs souhaitant se faire qualifier et qui ont des moyens plus modestes de résistance au risque qu’une telle aventure crée. L’aide va jusqu’à 180k euros.

Le problème est donc de trouver un partenaire capable d’apporter cette ingéniosité et qui maîtrise parfaitement le référentiel. C’est ce que notre équipe fait tous les jours !

Aujourd’hui, Hackcyom est le leader unique conseil et expertise de bout en bout sur #secnumcloud puisque nous accompagnons ou contribuons aux audits de qualification de plus d’une demie-douzaine de candidats/de qualifiés).

Avec de l’ingéniosité, un très haut niveau d’expertise, de la patience, de l’inventivité et de la flexibilité, on arrive à faire de l’innovation avec un niveau de sécurité robuste. Mais il est certain que c’est beaucoup plus difficile et provoque plus de noeuds au cerveau. Tout est une question de compromis entre vélocité et nombre de vulnérabilités, de mauvaises surprieses d’extraterritorialité ou de data breaches qu’on est capables d’accepter de découvrir par la suite…

Petit conseil : choisissez de vous faire conseiller par un auditeur SecNumCloud qui fait du conseil (c’est le cas de Hackcyom). Les cabinets qualifiés PASSI mais qui n’ont pas d’auditeur SNC sont encore loin d’avoir l’expérience et la compréhension/l’interprétation du référentiel nécessaires pour vous conseiller correctement.

N’hésitez pas à nous demander conseil en nous contactant sur LinkedIn ou à contact@hackcyom.com.