Le cloud computing consist en la fourniture de services informatiques tels que des serveurs, du stockage, des bases de données, du réseau, du logiciel, de l’analyse et de l’intelligence via Internet. Les services cloud offrent de nombreux avantages tels que la scalabilité, la flexibilité, l’efficacité coûts et l’innovation. Toutefois, ils posent également des risques de sécurité importants, en particulier en ce qui concerne l’accès et la gestion de données et d’actifs sensibles dans les environnements de production cloud.
Un environnement de production cloud est là où les applications en direct et les données réelles sont hébergées et accessibles aux utilisateurs finaux. Il diffère d’un environnement de développement ou de test cloud, où les applications et les données sont encore en cours de développement ou de test et non accessibles au public. Un environnement de production cloud nécessite un haut niveau de sécurité et de fiabilité pour garantir que les applications et les données sont protégées contre l’accès non autorisé, la modification, la suppression ou la divulgation.
L’une des façons d’atteindre ce niveau de sécurité consiste à mettre en œuvre un contrôle de sécurité pour toute personne qui a besoin d’accéder ou de gérer des environnements de production cloud. Le contrôle de sécurité est un processus d’investigation de dossier qui évalue la convenance d’une personne à accéder à des informations, des actifs ou du matériel sensibles. Ce contrôle est nécessaire pour protéger contre les menaces provenant de services de renseignement hostiles, de cybermenaces, de terroristes et d’autres groupes pressionnistes.
Niveaux de contrôle de sécurité#
Il existe différents niveaux de contrôle de sécurité au Royaume-Uni, selon la nature et la sensibilité des informations, des actifs ou du matériel impliqués. Les principaux niveaux sont les suivants :
- Standard de sécurité du personnel de base (BPSS) : Ce n’est pas une autorisation de sécurité formelle, mais un contrôle pré-emploi des individus ayant accès aux actifs gouvernementaux. Il comprend des vérifications de l’identité, de l’historique professionnel, du statut d’immigration et du casier judiciaire non effacé.
- Contrôle d’accréditation (AC) : Ce niveau concerne les individus qui ont besoin d’un accès non escorté à la zone restreinte de sécurité des aéroports du Royaume-Uni ou qui fournissent une formation en sécurité aérienne au Royaume-Uni. Il implique la vérification de l’identité, de l’historique professionnel, du casier judiciaire non effacé et une vérification contre les dossiers détenus par le gouvernement britannique ou ses agences.
- Contrôle antiterroriste (CTC) / Niveau 1B : Ce niveau concerne les individus qui ont besoin d’accès aux actifs du Royaume-Uni OFFICIEL et d’accès occasionnel aux actifs du Royaume-Uni SECRET, ou qui travaillent dans des zones où des informations SECRETES ou TOP SECRETES pourraient être entendues. Il inclut des vérifications de l’identité, de l’historique professionnel, du casier judiciaire, de la situation financière et des circonstances personnelles.
- Contrôle de sécurité (SC) : Ce niveau concerne les individus qui ont besoin d’un accès substantiel sans surveillance aux actifs du Royaume-Uni SECRET ou d’accès occasionnel aux actifs du Royaume-Uni TOP SECRET. Il inclut les mêmes vérifications que le CTC, plus une vérification de référence de crédit et une vérification contre les dossiers détenus par MI5.
- Vérification approfondie (DV) : Ce niveau concerne les individus qui ont besoin d’un accès substantiel sans surveillance aux actifs du Royaume-Uni TOP SECRET ou qui travaillent dans des postes liés au renseignement. Il inclut les mêmes vérifications que le SC, plus une interview détaillée avec un officier de vérification et des enquêtes auprès de témoins.
Comment demander ou renouveler un contrôle de sécurité#
Pour demander ou renouveler un contrôle de sécurité, vous avez besoin d’un sponsor, généralement votre responsable RH ou contrôleur de sécurité de l’entreprise. Votre sponsor doit confirmer que votre poste nécessite un contrôle de sécurité et qu’il a effectué le contrôle BPSS (sauf si vous êtes soumis au contrôle AC). Votre sponsor créera alors votre demande de contrôle, et vous recevrez un lien pour remplir un questionnaire de sécurité en ligne.
Le questionnaire de sécurité vous demandera des informations personnelles telles que votre nom, votre date de naissance, votre adresse, votre nationalité, votre niveau d’études, votre historique professionnel, votre situation financière, votre casier judiciaire, vos voyages à l’étranger et vos contacts. Vous devez répondre à toutes les questions honnêtement et fournir des documents justificatifs lorsque requis. Vous devez également donner votre consentement pour que vos informations soient vérifiées par les autorités concernées.
Après avoir soumis votre questionnaire de sécurité, vous pourriez être contacté par un officier de vérification pour des enquêtes supplémentaires ou un entretien. L’officier de vérification vous posera des questions sur votre passé, votre mode de vie, votre comportement et vos attitudes afin d’évaluer votre fiabilité, votre intégrité et votre loyauté. Vous devez coopérer pleinement avec l’officier de vérification et fournir toute information ou document supplémentaire qu’il demande.
La décision concernant votre contrôle de sécurité sera prise par le responsable du risque, généralement votre sponsor ou son supérieur hiérarchique. La décision sera fondée sur les informations recueillies durant le processus de vérification et le niveau de risque associé à votre poste. Vous serez informé du résultat par votre sponsor ou via le portail de la National Security Vetting Service (NSVS).
Si vous obtenez un contrôle de sécurité, vous devez respecter les conditions de votre autorisation, telles que signaler tout changement dans votre situation personnelle ou tout incident pouvant affecter votre adéquation. Vous devez également subir des révisions régulières de votre autorisation selon le niveau et la durée de votre contrôle.
Si votre contrôle de sécurité est refusé, ou si votre autorisation est révoquée ou réduite, vous avez le droit de faire appel contre la décision dans les 28 jours suivant la notification. Vous pouvez faire appel en écrivant à l’équipe d’appel de la NSVS, en expliquant pourquoi vous contestez la décision et en fournissant toute nouvelle preuve pour étayer votre dossier. Votre appel sera examiné par un panel indépendant qui décidera soit de maintenir, soit de renverser la décision.
Le contrôle de sécurité est une composante essentielle pour assurer la sécurité et l’intégrité des environnements de production cloud. Il aide à prévenir l’accès non autorisé, la modification, la suppression ou la divulgation de données et d’actifs sensibles dans le cloud. Il contribue également à protéger la sécurité nationale et les intérêts du Royaume-Uni et de ses alliés.
Si vous travaillez dans un poste qui nécessite un accès ou une gestion d’environnements de production cloud, vous devez être conscient des niveaux, des processus et des responsabilités liés au contrôle de sécurité. Vous devez également être prêt à subir un contrôle de sécurité et à maintenir votre autorisation tout au long de votre emploi.
Le contrôle de sécurité n’est pas une garantie de fiabilité future, et toutes les autorisations sont soumises à un examen régulier afin de maintenir le niveau nécessaire d’assurance. Vous devez toujours agir de manière professionnelle, éthique et légale, et signaler tout problème de sécurité ou incident à votre sponsor ou à votre contrôleur de sécurité.