La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM.

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

Les services Cloud, décomposés suivant les modèles IaaS, PaaS et SaaS (Infrastructure, Platform and Software as a service) sont de plus en plus utilisés. L’informatique traditionnelle pour laquelle l’entreprise était propriétaire de toutes ses infrastructures et applications n’existe pratiquement plus. Elle a été remplacée par des environnements hybrides mêlant « core IT », Private IaaS, Public PaaS et applications SaaS.

Ces environnements se veulent agiles et automatisés afin de s’adapter aux besoins métiers.

Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen « Cyber Act » a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.

L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « Cyberact ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5 en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.

Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.

Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

Le principe « Zero Trust » (ZT)est un concept régulièrement évoqué en cybersécurité. Il a d'ailleurs été intégré à la dernière version du programme de la certification CISSP. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).