La migrazione al cloud non conosce crisi. Non solo la sua adozione riguarda tutti i settori, anche i più sensibili, ma anche la quota di dati e applicazioni nel cloud continua a crescere. Tuttavia, il cloud rimane un argomento che evoca ansia. Il principale fattore di rischio indotto dalla sua adozione riguarda la non padronanza della catena di subappalto dell’host per il 51% degli RSSI (responsables de la sécurité des systèmes d’information – responsabili della sicurezza dei sistemi informatici) intervistato in occasione dell’ottava edizione del barometro annuale del CESIN (Club des Experts de la Sécurité de l’Information et du Numérique – Club degli esperti della sicurezza dell’informazione e del digitale) presentato pochi giorni fa.
La riservatezza dei dati critici: una questione di sovranità nazionale
In questo contesto, catalogare tutte le informazioni sensibili riveste una fondamentale importanza.
Esistono 4 livelli per classificare i dati.
- Non classificato: questa dicitura si applica soltanto alle informazioni che possono circolare liberamente all’esterno di un perimetro e che non necessitano di una protezione particolare.
- Uso interno: è il livello predefinito che raggruppa le informazioni che possono circolare liberamente all’interno di un dato perimetro.
- Diffusione limitata (diffusion restreinte – DR): non è un livello di classificazione, ma una menzione di protezione. Il suo obiettivo è sensibilizzare l’utilizzatore alla necessaria discrezione di cui deve dar prova nel loro trattamento.
- Segreto: questo livello è riservato alle informazioni la cui divulgazione a persone non autorizzate potrebbe nuocere agli interessi strategici dell’organizzazione, alla sua sicurezza o all’esistenza stessa dell’organizzazione.
Limiti della diffusione limitata (diffusion restreinte – DR)
L’istruzione interministeriale n. 901/SGDSN/ANSSI (II 901) del 28 gennaio 2015 definisce gli obiettivi e le misure di sicurezza minime relative alla protezione delle informazioni sensibili, in particolare quelle relative al livello di diffusione limitata (diffusion restreinte – DR).
Per poter mettere in atto una DR è necessario passare attraverso un’omologazione ad hoc che implichi un’analisi dei rischi residui. Indicare che si utilizza del materiale DR non è dunque sufficiente ad affermare che un servizio è ” “compliance DR“.
Inoltre, un prestatore la cui infrastruttura beneficia di un’omologazione DR non può farne beneficiare i propri clienti. Spetta all’azienda stessa, in quanto autorità di omologazione, definire il processo di omologazione del contesto in oggetto. La durata di tale omologazione è determinata dall’autorità di omologazione (da uno a tre anni al massimo, poiché il valore di riservatezza di un’informazione può evolvere durante tutto il suo ciclo di vita).
Per aiutare le amministrazioni e le organizzazioni interessate, l’Agenzia nazionale per la sicurezza dei sistemi informatici (Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI ha pubblicato una guida che spiega in dettaglio come costruire dei Sistemi d’Informazione (SI) suscettibili di trattare delle contrassegnate come “livello di diffusione limitata” (diffusion restreinte – DR).
L’attuazione rimane complessa in considerazione della presenza di 21 articoli e circa 190 misure!
Ma soprattutto, la II 901 non affronta la problematica della protezione dei dati DR quando sono ospitati in un cloud, poiché questa soluzione era ben lungi dall’essere diffusa nel 2015.
I vantaggi della qualificazione di SecNumCloud
Con la proliferazione di attacchi informatici sofisticati, è diventato fondamentale proteggere i propri contenuti ospitati nel cloud. Iniziato da una fase sperimentale nel 2015 con il nome di SecureCloud, lo standard SecNumCloud mira a favorire l’emergere di offerte cloud con un elevato livello di sicurezza.
Il rispetto dei requisiti dello standard SecNumCloud mira a raggiungere un livello di sicurezza che consenta l’archiviazione e il trattamento dei dati per i quali un incidente di sicurezza comporterebbe una conseguenza limitata per il committente.
Per essere conformi a questo standard, le aziende di cloud computing devono mettere in atto e rafforzare numerosi elementi di sicurezza, che si tratti di sicurezza fisica, organizzativa o contrattuale. Nel gennaio 2019, Oodrive è diventato il primo attore qualificato SecNumCloud per tutte le sue offerte di cloud privato. Un riconoscimento di un approccio di qualità e sicurezza intrapreso da molti anni. Ad oggi, nessun servizio cloud di tipo SaaS (Software as a Service – software come servizio), ad eccezione di Oodrive, è stato formalmente approvato per svolgere questo compito.
L’omologazione DR e la qualificazione di SecNumCloud sono compatibili?
Prendiamo il caso di un grande gruppo del settore energetico che ha bisogno di proteggere i dati DR e di disporre di un’infrastruttura cloud. Come abbiamo detto sopra, dovrà gestire la propria omologazione DR che terrà conto del servizio fornito da un terzo, quest’ultimo deve fornire una serie di garanzie.
Per questo grande gruppo, la procedura è più semplice e veloce se si avvale di un fornitore di servizi certificato SecNumCloud. Questa certificazione garantisce infatti che non solo il servizio in modalità SaaS (Software as a Service – software come servizio) è qualificato, ma anche i processi, il contesto, i contratti e le convenzioni di servizio.
Con SecNumCloud, un cliente beneficia di un servizio qualificato che è stato verificato dall’inizio alla fine. Tutti gli aspetti sono trattati dall’audit. Questo approccio permette di alleggerire l’analisi dei rischi della DR.
Rafforzare la sicurezza del proprio SI
La qualifica SecNumCloud consente di garantire la sicurezza del trattamento dei dati DR (diffusion restreinte – diffusione limitata) nel cloud. Ma le aziende devono rafforzare la loro politica di sicurezza per tenere conto dell’evoluzione delle minacce digitali.
Al fine di garantire una maggiore armonizzazione delle norme di gestione del rischio cyber
in Europa è in corso di elaborazione il progetto di regolamento europeo DORaA (Digital Operational Resilience Act – Regolamento in materia di resilienza operativa digitale).
In materia di gestione del rischio informatico, il testo imporrà alle entità la formalizzazione della mappatura delle risorse informatiche e dei rischi associati, nonché una governance adattata alla gestione del rischio informatico.
