Héberger des systèmes d’information sensibles dans le cloud

Les attaquants ont bien compris une chose :
👉 le cloud concentre des données critiques, des traitements sensibles et des accès mutualisés.

Résultat :

• les infrastructures cloud sont des cibles privilégiées ;

• la mutualisation augmente les risques de propagation en cas de compromission ;

• certaines offres sont soumises à des lois extraterritoriales, pouvant imposer l’accès aux données par des autorités étrangères.

👉 Conclusion : tous les systèmes ne sont pas faits pour le cloud, et toutes les offres cloud ne se valent pas.

L’objectif de l’ANSSI n’est pas d’interdire le cloud, mais de répondre à une question clé :

Quel type de cloud pour quel niveau de sensibilité et de menace ?

Les recommandations s’adressent notamment :

• aux SI sensibles (publics ou privés),

• aux opérateurs d’importance vitale (OIV),

• aux opérateurs de services essentiels (OSE),

• et aux systèmes d’information d’importance vitale (SIIV).

⚠️ Elles ne s’appliquent pas aux systèmes classifiés, et rappellent qu’un projet cloud reste un choix stratégique, validé au plus haut niveau de l’organisation.

1. Étude d’impact et analyse de risques

Toute décision cloud doit s’appuyer sur :

• une analyse métier (criticité, dépendances),

• une analyse juridique (réglementation, souveraineté),

• une analyse de risques cyber, intégrant :

  • le niveau de menace,

  • la sensibilité des données (confidentialité, intégrité, disponibilité),

  • les risques spécifiques au cloud (exposition internet, mutualisation),

  • les risques extraterritoriaux.

👉 Le cloud n’est pas un sujet uniquement technique, c’est un sujet de gouvernance.

2. Sécurité : ce qui reste toujours à la charge du client

Même avec une offre sécurisée :

• la configuration des accès,

• le contrôle des droits administrateurs,

• le filtrage réseau,

• la gestion des correctifs,

• la sécurisation applicative

👉 restent de votre responsabilité.

Un cloud « sécurisé » ne protège pas une application mal configurée.

3. Réversibilité et compétences internes

L’ANSSI insiste sur deux points souvent négligés :

• prévoir une clause de réversibilité pour éviter l’enfermement chez un fournisseur ;

• former les équipes (IT et pilotage projet) pour maîtriser :

  • les risques,

  • les coûts,

  • les délais.

Les choix cloud reposent sur trois critères indissociables.

1. Le type d’offre cloud

On distingue notamment :

• Cloud public : mutualisé entre clients

• Cloud privé : ressources dédiées à une seule entité

• Cloud communautaire : partagé entre organisations ayant un intérêt commun

• Cloud interne : opéré pour les besoins propres d’une organisation

👉 En pratique, beaucoup d’organisations évoluent vers des architectures hybrides.

2. Le niveau de menace

L’ANSSI identifie trois grandes catégories :

• Menace stratégique
  Attaques étatiques, espionnage, sabotage, lois extraterritoriales.

• Menace systémique
  Cybercriminalité de masse, rançongiciels, fraude, outils offensifs industrialisés.

• Menace isolée ou hacktiviste
  Actions de déstabilisation, DDoS, fuites de données.

👉 Plus la menace est élevée, plus l’exigence sur le cloud doit l’être aussi.

3. La nature du système d’information

Tous les SI n’ont pas le même niveau de criticité :

• SI diffusion restreinte (DR),

• SI sensibles relevant de la doctrine “cloud au centre”,

• SI d’OIV / OSE,

• SI d’importance vitale (SIIV).

👉 Les SIIV sont considérés comme des cibles systématiques par des acteurs de haut niveau.