BGC

La Direction Générale de la Sécurité Intérieure (DGSI) a mis en ligne en 2020 des préconisations relatives aux risques liés à l’hébergement des données dans les data centers / le cloud. Les voici résumées :

S’agissant des data centers localisés sur le territoire national, veiller aux conditions générales de vente et d’utilisation. Le contrat ne doit pas permettre le transfert des données hébergées en France vers un pays tiers.

Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.

Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.

Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.

Procéder systématiquement au chiffrement (cryptage) de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.

Limiter les droits des utilisateurs des services dans le nuage, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les historiques de connexion et assurer une gestion rigoureuse des droits d’accès (ouverture et fermeture des accès) pour éviter toute usurpation d’identité.

Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.

Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.

Pour en savoir plus :

DGSI - Ingérence économique - « Les risques liés à l’hébergement des données dans les data centers / le cloud » (pdf ; pp. 15-25)

TLS (Transport Layer Security) est un protocole de sécurité utilisé pour sécuriser les connexions réseau, en particulier les connexions Web. Il est utilisé pour établir une connexion sécurisée entre un client et un serveur en garantissant l'authenticité et la confidentialité des données échangées. TLS est le successeur du protocole SSL (Secure Socket Layer).

HTTPS (Hypertext Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour la communication Web. HTTPS utilise TLS pour sécuriser les communications entre un client et un serveur.

Le fonctionnement de TLS est basé sur un échange de clés de cryptage entre le client et le serveur. Lorsqu'un client se connecte à un serveur sécurisé, le serveur envoie son certificat contenant sa clé publique au client. Le client utilise alors la clé publique pour chiffrer une clé de session, qui est envoyée au serveur. Le serveur utilise ensuite sa clé privée pour déchiffrer la clé de session. La communication entre le client et le serveur est ensuite chiffrée à l'aide de la clé de session.

TLS permet également l'authentification du serveur via son certificat numérique. Le certificat numérique est émis par une autorité de certification (CA) de confiance et contient des informations sur le serveur, telles que son nom de domaine et sa clé publique.

En résumé, HTTPS utilise TLS pour assurer la confidentialité et l'authenticité des données échangées entre un client et un serveur Web. TLS utilise des échanges de clés de cryptage pour protéger les données et permet l'authentification du serveur via son certificat numérique émis par une autorité de certification.