Dimanche 24 Septembre 2017

La sécurité du cloud : une question épineuse et (finalement) onéreuse

Lundi 10 Juillet 2017
Le CESIN lève le voile sur les résultats d'une enquête portant sur les enjeux de la sécurité du cloud pour les entreprises françaises. Elle a été menée auprès de ses membres, Responsables Sécurité des Systèmes d'Information (RSSI) des grands groupes français. Et voici ce qu'il en ressort :

90% des répondants stockent certaines de leurs données dans un cloud, mais seuls 29% des répondants disent avoir recours au cloud public. Plusieurs raisons sont invoquées notamment la perte de maîtrise des données, l'interdiction par la politique sécurité de l’entreprise ou encore l’attente de l’émergence d’un cloud français souverain.

Pour le choix de la solution, plusieurs critères prévalent dont la sensibilité stratégique du SI et de ses actifs connectés, le caractère réversible de la solution et l’indépendance face au vendeur.

Reste que, dans la majorité des cas, les entreprises n’ont pas formellement intégré le cloud dans leur politique de sécurité des systèmes d’information (PSSI). 58% des RSSI indiquent que le positionnement de ces solutions est loin d’une conformité satisfaisante au GDPR. La plupart d’entre eux avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS et 62% disent qu'il n'est pas possible d'identifier les sous-traitants du fournisseur. Le sondage souligne que ce dernier ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure. "Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats" souligne Alain Bouillé, Président du CESIN. 

Autres enseignements :
  • 43% des sondés indiquent qu’il est possible d’effectuer des audits ou tests de pénétration, moyennant préavis aux fournisseurs et une fois par an au plus.
  • 70% interdisent systématiquement l’usage des données de leur entreprise par leurs fournisseurs (seuls 21% l'acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées).
  • 76% des entreprises n’ont pas encore déployé de dispositif pour détecter les usages non maîtrisés du cloud (Shadow IT notamment).
  • à 62%, les utilisateurs mobiles se connectent aux applications directement via Internet. Seuls 38% continuent de passer par le réseau interne via VPN avant d’accéder à l’application SaaS.
  • pour 89% l’usage du cloud garantit la haute disponibilité et la continuité d’activité. Il participe aussi largement à la protection physique des environnements. Néanmoins il affaiblit les moyens de sécurisation logique, l’isolation des environnements, la possibilité de monitoring, la souplesse de la relation contractuelle, et pour 80 % la protection des données.
  • 67% des répondants ont dû renforcer la résilience dans les accès à Internet, les architectures DNS… ce qui a souvent une incidence significative sur le coût du projet, pas toujours intégré dans le ROI comme de nombreux autres coûts cachés.
Enfin, donnée intéressante : 65% des sondés jugent le coût d’exploitation (run) de la sécurité du cloud plus élevé ou équivalent aux solutions on-premises.
Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse