Face aux menaces sur l'informatique en nuage, l'Anssi pousse les offres SecNumCloud

L'informatique en nuage (Cloud Computing) fait partie des principaux leviers de la transformation numérique des administrations publiques. Le cloud n'est cependant pas immunisé des risques cyber comme le montre un rapport récent du Cert (Anssi). Exemples à l'appui (à l'étranger essentiellement), il montre que le cloud est désormais la cible de rançongiciels, de vols de données, d'espionnage ou d'attaques en déni de service (DDoS). Les attaques peuvent viser les fournisseurs de cloud, mais aussi les clients (par exemple un utilisateur de logiciel Saas) ou encore certains composants matériels. Le partage des responsabilités entre clients et fournisseurs dépend en partie de l'offre cloud déployée : infrastructure (IaaS), plateforme (PaaS) ou location de logiciel (SaaS). Les compromissions sont le plus souvent dues à des erreurs humaines qui devancent l'exploitation de failles techniques. Dans les vulnérabilités les plus fréquentes, on trouve une mauvaise configuration des accès et l'usage d'identifiants insuffisamment robustes. Les portails web permettant d'accéder aux services constituent souvent la principale cible des attaquants.

Pour faire face à ces attaques, l'Anssi recommande l'application des règles de base de son guide d'hygiène informatique. Elle préconise aussi de recourir aux offres labellisées SecNumCloud (une dizaine à ce jour), respectant les plus hauts standards de sécurité, surtout quand l'entité héberge des données sensibles. L'agence incite aussi à un cloisonnement des systèmes, entre les applications installées sur les ordinateurs de l'entité (dites "on premise"), et ce qui est hébergé dans le cloud. Elle incite enfin à mener un audit de l'exposition des services cloud et la mise en place d'un plan de continuité et de reprise d'activité. Des recommandations qui vont du reste devenir des obligations avec la mise en œuvre de la directive NIS 2.