Etats Généraux du Cloud : Quid de la confiance et de la sécurité dans le cloud ?

Le CESIN a interrogé ses membres sur les enjeux de la sécurité du cloud pour les entreprises françaises. Le club apporte une vision terrain approfondie de l’évolution des usages liés à la transformation numérique, et les facteurs de risque associés. Les résultats de cette enquête indépendante ont été présentés en avant-première à l’occasion des États Généraux du Cloud, qui se sont tenus la semaine dernière à Paris dans le cadre de la Cloud Week.

L’enquête menée auprès de ses membres, Responsables Sécurité des Systèmes d'Information (RSSI) des grands groupes français, révèle l'évolution des pratiques liées à l’adoption massive du cloud. 90% des répondants stockent certaines de leurs données dans un cloud, cependant seulement 29% des répondants déclarent avoir recours au cloud public. Les raisons invoquées pour cette relative faible proportion d’usage de ce type de service sont la perte de maîtrise des données, voire une interdiction par la politique sécurité de l’entreprise tandis que certains mentionnent l’attente de l’émergence d’un cloud français souverain.

Ces solutions doivent garantir à la fois la confidentialité, un très haut niveau de disponibilité et d’intégrité, et être compatibles aux exigences de conformité. La sensibilité stratégique du SI et de ses actifs connectés ainsi que le caractère réversible des solutions et l’indépendance face au vendeur sont des éléments déterminants quant aux choix de la technologie et du fournisseur. Ces critères auront des conséquences opérationnelles et juridiques, notamment concernant la protection des données sensibles et plus particulièrement dans le cadre la nouvelle réglementation GDPR applicable le 25 mai 2018.

Or, dans la majorité des cas, les entreprises n’ont pas formellement intégré le cloud dans leur politique de sécurité des systèmes d’information (PSSI). 58% des RSSI indiquent que le positionnement de ces solutions est loin d’une conformité satisfaisante au GDPR. La plupart d’entre eux avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS, en outre pour 62% des sondés, il n’est pas possible d’identifier les sous-traitants du fournisseur. Le sondage souligne que ce dernier ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.

Alain Bouillé, Président du CESIN, déclare : « Notre participation à la Cloud Week et spécialement aux Etats Généraux du Cloud, nous a permis de rééquilibrer un discours et une vision parfois trop enthousiastes vis-à-vis des solutions cloud en faisant entendre la voix de la sécurité afin, en particulier pour le cloud public, de revenir à la réalité concrète du terrain sans bruit de fond marketing. Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats ».

Si les PSSI des fournisseurs de cloud sont le plus souvent communiquées sur leur site, elles peuvent cependant changer à tout moment. Dans certains cas il arrive qu’elles ne soient pas consultables. Seulement 43% précisent qu’il est possible d’effectuer des audits ou tests de pénétration, moyennant préavis aux fournisseurs et une fois par an au plus.

Ils sont 70% à interdire systématiquement l’usage des données de leur entreprise par leurs fournisseurs, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées.

Encore faut-il être informé, car dans le cadre de l’usage des applications cloud en Shadow IT qui se répand largement dû au caractère simple et le plus souvent gratuit des applications, malgré le risque avéré pour les données, 76% des entreprises n’ont pas encore déployé de dispositif pour détecter ces usages non maîtrisés du cloud.

Se pose aussi la question de la gestion rigoureuse des droits d’accès. Pour 62% des entreprises les utilisateurs mobiles se connectent aux applications directement via Internet, seuls 38% continuent de passer par le réseau interne via VPN avant d’accéder à l’application SaaS.

Lorsqu’on s’interroge sur la pertinence du cloud par rapport aux solutions traditionnelles, les avantages restent toutefois nombreux. Pour 89% l’usage du cloud garantit la haute disponibilité et la continuité d’activité. Il participe aussi largement à la protection physique des environnements. Néanmoins il affaiblit les moyens de sécurisation logique, l’isolation des environnements, la possibilité de monitoring, la souplesse de la relation contractuelle, et pour 80 % la protection des données.

L’usage massif du cloud rend l’entreprise totalement dépendante de la disponibilité d’Internet et de ses fournisseurs d’accès. 67% des répondants ont dû renforcer la résilience dans les accès à Internet, les architectures DNS… ce qui a souvent une incidence significative sur le coût du projet, pas toujours intégré dans le ROI comme de nombreux autres coûts cachés.

Enfin concernant les coûts, 65% jugent le coût d’exploitation (run) de la sécurité du cloud plus élevé ou équivalent aux solutions on-premises

Commentaires

Pour chiffrer dans le cloud on peut utiliser les solutions Safenet KeySecure. 

En virtuel ou non. Comme cela c'est vous qui avez la maîtrise des clés de chiffrement pas le cloud ni un provider.

Retex et partage bienvenus via LinkedIn.

Gemalto bien sûr mais d'autres constructeurs également offrent ces solutions utiles pour le cloud.