Le référentiel des risques Cloud de l’ENISA

L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen CyberSecurity Act a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.

Bénéfices

Une liste de bénéfices pour la sécurité, bien que non directement liée à l’analyse des risques a été conservée dans la version 2012 référentiel de l’ENISA :

  • Economies de volume. Partant du principe que les mesures de sécurité ont un coût de revient moins élevé lorsqu’elles sont mises en œuvre à grande échelle.
  • Différentiateur marché. Les fournisseurs devant prendre la sécurité au sérieux pour être bien placé parmi leurs concurrents.
  • Facilité d’installation pour les clients. En particulier, les mises à jour et le durcissement des systèmes d’exploitation en environnement IaaS (Infrastructure as a Service).
  • Montée en charge rapide. La forte automatisation du Cloud permet d’allouer d’une manière dynamique des nouvelles ressources en incluant des services de sécurité.
  • Concentration des ressources. Bien que comportant des risques, la concentration des ressources dans des gros datacenters permet de gagner en efficacité et en coûts sur les mesures de sécurité physiques.

Risques

L’évaluation générique des risques est basée sur la matrice suivante.

RiskMAtrixENISA Cloud

Source : ENISA

Le référentiel comporte 23 risques répartis dans 3 catégories :

  • Politiques et organisation.
  • Techniques
  • Juridiques

Chaque fiche de présentation des risques comporte les informations suivantes :

  • Description du risque.
  • Evaluation suivant la matrice.
  • Comparaison (impact et vraisemblance) avec le risque en environnement classique IT (non-Cloud) lorsque c’est pertinent.
  • Discussion du risque et des mesures de traitement pour chaque service (IaaS, PaaS et SaaS).

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, CCSP, CCSK, Risques, ENISA