ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing policy.fr.v.1.00 Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Houbaille(BCSS), Costrop (Smals), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI). Mais aussi, ceux du groupe de travail de FEDICT
TABLE DES MATIERES 1. 2. 3. 4. 5. 6. 7. Politique de sécurité relative à des services de Cloud INTRODUCTION... 3 PORTEE... 3 OBJECTIF... 3 RISQUES LIES AU «CLOUD»... 3 POLITIQUE... 4 5.1. DIRECTIVES GÉNÉRALES... 4 5.2. GARANTIE DE MISE EN ŒUVRE PAR LE PRESTATAIRE... 5 5.3. RESPECT DES BONNES PRATIQUES PAR LE PRESTATAIRE DE SERVICE... 6 5.4. RESPECT DES OBLIGATIONS LEGALES ET TECHNIQUES DANS LE CAS DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL... 8 ANNEXE :... 9 6.1. L EXTERNALISATION IT DIFFÈRE-T-ELLE DU «CLOUD COMPUTING»?... 9 6.2. MODÈLES «CLOUD COMPUTING»... 9 6.3. AVANT UN DÉPLACEMENT VERS UNE INFRASTRUCTURE «CLOUD COMPUTING»... 9 REFERENCES:...10 P 2
1. Introduction Le but de ce document est d établir les exigences de sécurité lorsqu une institution de la sécurité sociale envisage de recourir à un service «Cloud». A cette occasion, Il est important de s assurer que le prestataire du «Cloud» offre des garanties suffisantes en matière de protection des données, de respect de la loi de la vie privée mais aussi au niveau de la pérennité des données et des considérations juridiques et techniques de réalisation des prestations. Dans le cadre de cette politique, la notion de «Cloud» regroupe les services «cloud» comme défini par l organisme NIST 1 mais aussi toute activité d externalisation IT. En effet, les services «cloud» sont uniquement des solutions informatiques externalisées qui combinent espace de stockage flexible et accessibilité des données du monde entier (voir annexe 6.1 : L externalisation IT diffère-t-elle du «Cloud»?). 2. Portée La présente politique s adresse aux institutions de la sécurité sociale traitant des données confidentielles 2 qui souhaitent faire appel à des prestataires de service «Cloud». 3. Objectif Cette politique de sécurité poursuit l objectif d établir les exigences minimales de sécurité technique et juridique ainsi que les garanties contractuelles lorsqu une institution envisage d avoir recours à des prestations de services de «Cloud». Il est à ce titre nécessaire que le prestataire du «Cloud» offre des garanties suffisantes quant au respect des conditions contractuelles, d encadrement des transferts, de sécurité des données et de la protection de la vie privée afin de s assurer de la qualité attendue du service. 4. Risques liés au «Cloud» Le passage au «Cloud» demande une approche rigoureuse de gestion des risques de sécurité technique, contractuelle et juridique. En effet, l institution qui envisage de recourir à un prestataire de service «Cloud» doit s assurer que celui-ci est capable de mettre en œuvre les mesures de sécurité appropriées afin de se protéger contre les risques propres au Cloud, liés aux traitements informatiques traditionnels et à ceux plus particulièrement pertinents envers la protection des données personnelles. Les principaux risques identifiés à ce sujet sont : la perte de gouvernance sur le traitement; risques liées aux sous-traitants du prestataire, par exemple une faille dans la chaîne de sous-traitance dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir un service; la dépendance technologique, vis-à-vis du fournisseur de «Cloud», par exemple, le risque de perdre des données lors de la migration vers un autre fournisseur ou une solution interne; une faille dans l isolation des données, c est-à-dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance ou à une mauvaise gestion du prestataire; l exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales; 1 National Institute of Standards & Technologie 2 On qualifie dans cette politique la donnée confidentielle comme étant toute donnée à caractère non public. P 3
le non-respect des règles de conservation et de destruction des données édictées par l institution e.a. suite à une destruction ineffective ou non sécurisée des données, ou une durée de conservation trop longue ; des problèmes de gestion des droits d accès; l indisponibilité du service fourni par le prestataire; la fermeture du service du prestataire (e.g. par suite d une décision judiciaire ou la reprise du prestataire par un tiers ou lors d une faillite); la non-conformité avec la législation, notamment sur les transferts internationaux. Une liste élargie, non-exhaustive de 35 risques fournie par l ENISA 3 peut être pris en considération dans le cadre d une analyse de risque lorsque le cadre du projet a été défini. 5. Politique 5.1. Directives générales Avant d envisager le recours au Cloud, l institution responsable de traitement doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l application des contraintes de sécurité. Dans le cas où la classification des données l exige, l institution responsable doit identifier les conditions minimales ou restrictions à leur transfert. Suivant la loi du 15 août 2012 relative à la création et à l organisation d un intégrateur de services, la définition de la sécurité de l information ne couvre pas seulement les données à caractère personnel mais toutes les données. Dans ce contexte, les données doivent être inventoriées et classifiées selon leur degré de criticité suivant le modèle de classification de données en vigueur au sein de l organisme. Il est impératif d identifier le type de Cloud pertinent pour le traitement envisagé suivant les offres actuelles de «Cloud» (voir annexe 6.2). Il est indispensable de définir ses propres exigences de sécurité technique et juridique. En effet, si le but du Cloud est de décharger l institution de certaines tâches opérationnelles, il faut s assurer a priori que le prestataire suit un niveau d exigence au moins égal à celui demandé à l institution. Pour les données et les traitements «métier», l institution doit particulièrement s assurer de la réversibilité 4 et d un niveau de disponibilité suffisant. Suivant le périmètre du projet, la criticité des actifs (en termes de disponibilité, d intégrité et de confidentialité) et au regard du modèle attendu de «Cloud», l organisme doit conduire une analyse de risques afin d être en mesure de définir les mesures de sécurité appropriées à exiger du prestataire. 3 Agence Européenne chargée de la sécurité des réseaux et de l'information, rapport disponible à l adresse suivante : http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment 4 Définition: La réversibilité est la possibilité de revenir à une situation ou à une organisation antérieure viable. Elle permet d'éviter une situation de blocage sans possibilité de retour ou de dépendance à l'égard d'un prestataire unique. P 4
5.2. Garantie de mise en œuvre par le prestataire Politique de sécurité relative à des services de Cloud Toute institution de la sécurité sociale qui envisage de traiter des données confidentielles dans un «cloud» géré par un prestataire de service doit veiller aux garanties contractuelles suivantes : 1. Clause relative à la possibilité pour un prestataire de service «cloud» de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-vis de l institution de l exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités. Dans la perspective où certaines tâches particulières puissent être attribuées à des soustraitants, le contrat doit stipuler que le prestataire «cloud» en informe l institution et s engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses soustraitants en effectuant les contrôles nécessaires ; les conditions d exécution de ces contrôles doivent être prévues dans le contrat. 2. Clause relative à l intégrité, la continuité et la qualité de service Le prestataire doit disposer et mettre en œuvre tous les dispositifs assurant la conservation et l intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde. Un engagement de niveau de service (SLA) doit être formalisé dans un accord annexé au contrat entre l institution et le prestataire de service «cloud» ; y sont spécifiés, y compris pendant la période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d interruption après accident et tous autres critères relatifs à la reprise des activités (RTO et RPO) 5. De même, le détail des mesures permettant la continuité de service doit être fourni dans l accord de niveau de service (SLA) annexé au contrat. 3. Clause relative à l assurance de restitution des données. Le prestataire s engage à ne pas conserver les données de l institution au-delà de la durée de conservation fixée en concertation avec l institution. En cas de rupture anticipée ou en fin de prestation, le prestataire s engage à la restitution de l intégralité des données de l institution dans un mode et un délai convenu, sur base d un format conventionnel, structuré et couramment utilisé afin que l institution puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l accord de l institution, le prestataire de service s engage à détruire de façon sécurisée toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction. 4. Clause sur la garantie de portabilité des données et l interopérabilité des systèmes. En fin de prestation, le prestataire s engage à fournir, à des conditions convenues dans le contrat, l aide nécessaire à la migration des traitements opérés de son «cloud» vers une autre solution. 5. Clause sur les règles d audits Le prestataire s engage à autoriser les audits demandés par l institution, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par un tiers de confiance. 5 RTO (Recovery Time Objective): Durée maximale d interruption admissible RPO (Recovery Point Objective): Perte de données maximale admissible. P 5
Les audits doivent permettre l analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex). L audit doit aussi permettre de s assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l intégrité des données mises en place ne peuvent être contournées sans que l institution n en soit avisée. En cas de sous-traitance, totale ou partielle, le prestataire impose à ses sous-traitants des clauses qui garantissent le droit de l institution d effectuer ces audits dans le respect des règles qui précèdent. 6. Clause sur les obligations du prestataire en matière de confidentialité des données: Le prestataire doit s engager, pour lui, ses sous-traitants et éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d un tiers. Il doit s engager à protéger et tenir à la disposition de l institution toutes les traces d accès (nécessaires à déterminer qui a fait quoi et quand) aux données, outils d administration et applicatifs, et ce pendant une durée déterminée contractuellement. Il doit informer l institution de toute anomalie qu il détectera dans ces traces de connexion telle que des tentatives d accès de personnes non-autorisées. Le prestataire doit informer immédiatement l institution de toute enquête ou demande d enquête provenant d une autorité administrative ou judiciaire belge ou étrangère. 7. Clause sur la souveraineté Le prestataire doit fournir à l institution l'assurance que ni lui, ni ses éventuels soustraitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à l Union européenne. 8. Clause sur les obligations du prestataire en matière de sécurité des données Le fournisseur de service «Cloud» est tenu au respect des bonnes pratiques telles que celles mentionnées dans les normes minimales de la sécurité sociale ou dans d autres standards comme les normes de la série ISO 27000. Le prestataire doit fournir à l institution la politique de sécurité des systèmes d information qu il a mise en place et doit l informer des évolutions de cette politique. Le fournisseur est tenu de communiquer à l institution l identité de son responsable de la gestion de la sécurité. Le fournisseur est appelé à fournir de façon régulière à l institution une évaluation sur le maintien des exigences de sécurité (ceci peut se faire au travers du SLA conclu entre les deux parties). 5.3. Respect des bonnes pratiques par le prestataire de service Les bonnes pratiques mentionnées ci-joint constituent une liste minimale et non-exhaustive de mesures de sécurité que le prestataire de service «Cloud» est dans l obligation de respecter. De plus, l analyse de risque exécutée par l institution peut donner lieu à des mesures de sécurité complémentaires. En outre, suivant le modèle de «cloud», la responsabilité de la gestion des mesures de sécurité doit être clairement définie. En matière de protection de données, on peut définir cinq domaines où les bonnes pratiques doivent être mises en place. Les données confidentielles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données, P 6
Les centres de calcul : le prestataire doit disposer d une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc..), La sécurité des accès logiques : le prestataire doit disposer de contrôles d accès logique en adéquation avec la criticité des données, La sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés, La sécurité du réseau : le prestataire doit disposer d un réseau sécurisé avec un isolement approprié envers les tiers. 1. Protection des données : Le prestataire assure que la localisation des données confidentielles ou non, propriétés de l institution, est connue et conforme aux exigences de l institution (Centre de calcul, serveurs, etc ); les systèmes de sauvegardes, de restaurations et plan de secours informatiques associés sont mis en œuvre et testés périodiquement; il dispose d un code d éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n exerce et n exercera pas d activités pouvant entrainer un risque de conflit d intérêts; son personnel est régulièrement sensibilisé à la sécurité; il dispose de moyens de traçabilité permettant de détecter des violations de privilèges ou des comportements malveillants; il dispose d une gestion des incidents de sécurité incluant la détection, l alerte, le traitement jusqu à la résolution, identification des causes et la communication à l institution. 2. Sécurité des centres de calcul Le prestataire assure que il dispose de systèmes de contrôle d accès physiques sécurisés, de détection d intrusion, d incendie, d inondations et de vidéo surveillance; les accès aux centre de calculs sont autorisés aux seules personnes habilitées, ils sont tracés et revus régulièrement; tout sous-traitant est soumis à des clauses contractuelles de confidentialité (notamment pour la maintenance des systèmes contenant des données confidentielles); tout media de stockage de données contenant des données confidentielles et destiné à être réaffecté, mis au rebus ou recyclé fait l objet d un effacement adéquat préalable. 3. Sécurité des accès logiques Le prestataire assure que il applique les règles d autorisation d accès aux données en fonction des éléments communiqués par l institution (consultation, création, modification et suppression); les accès des utilisateurs et administrateurs aux systèmes contenant des données confidentielles s appuient sur des mécanismes assurant la confidentialité et la traçabilité (e.g. pistes d audit sur les accès aux données, sur la problématique des comptes génériques); il applique une politique d authentification conforme à celle de l institution. 4. Sécurité des systèmes Le prestataire assure que les données sauvegardées, quel que soit le support, sont chiffrées au moyen d un dispositif adéquat (algorithme, longueur de clef, ) en fonction du modèle «cloud» choisi et si l institution juge cette mesure adéquate; il gère les vulnérabilités des systèmes et organise au moins annuellement des tests d intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement; P 7
les serveurs hébergeant les données confidentielles sont configurés avec un niveau de sécurité renforcé; les patchs de sécurité sont gérés de façon centralisée, testés préalablement et appliqués dans des délais raisonnables et en fonction de leur criticité; les anti-malware sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés; l usage des clés USB et autres medias de stockage mobiles est géré et contrôlé; les processus et pratiques de gestion des risques, de gestion des incidents et de gestion du changement sont mis en œuvre et correctement documentés. 5. Sécurité des accès au réseau Le prestataire assure que : les accès au réseau sont limités, sécurisés et filtrés; les tâches d administration des systèmes sont opérées depuis un réseau d administration sécurisé; dédié et isolé en se connectant avec des mécanismes d authentification forte; les changements au niveau des équipements réseau sont préalablement approuvés, tracés, et documentés; dans le cas d un service «Cloud computing» partagé: o o l accès au réseau est autorisé uniquement à des terminaux de confiance; le réseau sur lequel sont connectés les systèmes hébergeant les données confidentielles est isolé du réseau des autres institutions. 5.4. Respect des obligations légales et techniques dans le cas de traitement de données à caractère personnel 6 Avant d avoir recours au «cloud computing», toute institution doit évaluer l impact en ce qui concerne la sécurité et la confidentialité du traitement et le stockage de données à caractère personnel dans le cloud. Suivant le seuil de sensibilité des données définie par l institution et l analyse d impact s y référant, l institution sera contrainte d abandonner l utilisation d un prestataire de service «cloud computing». Autrement, les règles suivantes sont d application: en fonction du secteur d activité toute institution doit outre l ensemble de la législation belge et européenne prendre en compte également la législation spécifique à son secteur; l institution doit toujours veiller au respect des règles de protection des données à caractère personnel (loi de la protection vie privée 7 ) lors du traitement de telles données dans un service de type «cloud». Dans ce cadre, l institution propriétaire des données sera toujours tenue responsable du bon respect des règles de protection des données à caractère personnel; en cas d infogérance de données à caractère personnel, le choix du prestataire de service «cloud computing» par l institution se limite à des prestataires qui offrent uniquement des services cloud «communautaire» (ou «privé»); Sauf dérogation, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et pour le stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l institution en termes de gestion et ne peuvent pas être sous-traités. 6 Les données à caractère personnel incluent aussi les données médicales, sociales ou à caractère privé suivant la classification des données en vigueur à la sécurité sociale. 7 http://www.privacycommission.be/fr/la-loi-vie-privee-et-ses-arretes-d-execution P 8
6. Annexe : 6.1. L externalisation IT diffère-t-elle du «Cloud»? La réponse est non en termes d exigences sécuritaires. En effet, l externalisation est la méthode bien connue selon laquelle une tierce partie prend en charge une ou plusieurs fonctions de l entreprise, pour laquelle (lesquelles) on manque souvent de ressources (temps, expertise). Cette externalisation peut aller jusqu au stockage des données et des systèmes de traitement. Le «Cloud» est la résultante de l évolution de l externalisation IT. En effet, l arrivée à maturité de technologies de virtualisation et la généralisation de l accès au réseau à très haut débit ont ouvert les portes à l utilisation flexible et à la demande des ressources informatiques importantes et possiblement délocalisées: c est l essence du «Cloud». Dans ce cadre, cette politique de sécurité peut aussi être prise en considération dans toutes activités d externalisation IT. 6.2. Modèles «Cloud» Les offres actuelles«cloud» peuvent être classées selon trois modèles de service et quatre modèles de déploiement. Les modèles de services sont les suivants o SaaS: «Software as a Service», c est-à-dire la fourniture de logiciel en ligne; o PaaS: «Platform as a Service», c est-à-dire la fourniture d une plateforme de développement d applications en ligne; o IaaS : «Infrastructure as a Service», c est-à-dire la fourniture d infrastructures de calcul et de stockage en ligne. Les modèles de déploiement sont les suivants : o «Public» : L infrastructure est accessible à un large public et appartient à un fournisseur de «Cloud», dans ce cadre un service est partagé et mutualisé entre de nombreux clients; o «Privé» : l infrastructure Cloud fonctionne pour une organisation unique, elle peut être gérée par l organisation elle-même (Cloud Privé interne) ou par un tiers (Cloud Privé externe); o «Communautaire»: est une infrastructure partagée par plusieurs organisations qui ont des intérêts communs ou des contraintes (légales, ) identiques. Comme le cloud Privé, il peut être géré par les organisations elles-mêmes ou par un tiers; o «Hybride» : c est une infrastructure se composant de deux clouds ou plus (Privé, communautaire ou Public), qui restent des entités uniques, mais qui sont liées par une technologie normalisées ou propriétaire, permettant la portabilité des données ou des applications. 6.3. Avant un déplacement vers une infrastructure «Cloud» Préparer une analyse de rentabilité et évaluer les coûts et les bénéfices relatifs à un déplacement vers un fournisseur de «Cloud». Identifier et classifier les actifs (informations, applications, processus) qui sont considérés dans le champ d application du «Cloud». Impliquer les personnes clés de l organisation (légale, Sécurité, finance, etc.) durant le processus de décision de la migration vers un service de «Cloud» avant de prendre une décision. Examiner en profondeur le design et les exigences de la solution proposée par le candidat pour le transfert vers le «Cloud» et aussi demander que le fournisseur de service «Cloud» de prévoir une période de test afin d identifier des problèmes potentiels. P 9
7. Références: les normes ISO 27001, ISO 27002 Avis et recommandations de la CPVP 8, référence : SA2/DOS-2013-03274-003, ISACA publication: Security considerations for cloud computing, ISBN: 978-60420-263-2, Recommandations du CNIL 9 : Recommandations pour les entreprises qui envisagent de souscrire à des services de «Cloud» 8 Commission de Protection de la Vie Privée, http://www.privacycommission.be 9 Commission Nationale de l Informatique et des libertés, http://www.cnil.fr P 10