A l’occasion des États Généraux du Cloud, qui se sont tenus la semaine dernière à Paris dans le cadre de la Cloud Week, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) a présenté les résultats d‘une enquête réalisée auprès de ses membres sur les enjeux de la sécurité du nuage pour les entreprises françaises. Une très grande majorité (90%) des RSSI (responsables sécurité des systèmes d’information) interrogés indiquent que leur entreprise stocke certaines de leurs données dans un cloud, mais à peine 29% des répondants déclarent avoir recours au cloud public. Les raisons invoquées pour cette défiance envers le cloud public sont la perte de maîtrise des données, une interdiction par la politique de sécurité de l’entreprise, voire… l’attente de l’émergence d’un cloud français souverain.
Concernant le choix du fournisseur et de la technologie, la sensibilité stratégique du système d’information, le caractère réversible de la solution et l’indépendance face au fournisseur de celle-ci apparaissent comme des éléments déterminants.
L’enquête révèle par ailleurs que la plupart des entreprises n’ont pas intégré de façon formelle le cloud dans leur politique de sécurité des systèmes d’information. Ainsi, 58% des RSSI indiquent que leur entreprise ne répond pas de manière satisfaisante à la GDPR qui entrera en vigueur le 25 mai prochain. La plupart d’entre eux indiquent qu’ils sont dans l’incapacité de modifier les contrats passés avec les grands fournisseurs de solutions SaaS et 62% des RSSI interrogés affirment qu’il est impossible d’identifier les sous-traitants du fournisseur. Par ailleurs, ce dernier se dégage généralement de toute responsabilité en cas de failles de sécurité lorsque la solution SaaS repose sur une infrastructure Azure ou AWS.
Si la politique de sécurité des systèmes d’information (PSSI) des fournisseurs est souvent – donc pas toujours – affichée sur leur site, il ressort de l’enquête qu’elle peut changer à tout moment. Et les fournisseurs voient d’un mauvais oeil les audits ou tests de pénétration. A peine 43% d’entre eux les autorisent moyennant préavis et une fois par an tout au plus.
Pour en revenir à la politique de sécurité de l’entreprise, l’étude révèle que 70% des organisations interdisent à leur fournisseur d’accéder à leurs données tandis que 21% autorisent cet accès à condition que les données soient rendues anonymes et/ou agrégées. En revanche, malgré le risque qu’il représente, 76% des entreprises n’ont pas pris de mesures contre le Shadow IT. Enfin, à peine 38% des entreprises interrogées obligent leurs utilisateurs mobiles à passer par un VPN pour accéder à une application SaaS.
Quant au coût d’exploitation de la sécurité du cloud, il est jugé équivalent ou plus élevé que celui des solutions sur site par 65% des sondés.
« Notre participation à la Cloud Week et spécialement aux Etats Généraux du Cloud, nous a permis de rééquilibrer un discours et une vision parfois trop enthousiastes vis-à-vis des solutions cloud en faisant entendre la voix de la sécurité afin, en particulier pour le cloud public, de revenir à la réalité concrète du terrain sans bruit de fond marketing. Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats », explique dans un communiqué du CESIN, le président du club, Alain Bouillé.