Quelle est l’évolution des pratiques liées à l’adoption du Cloud dans le contexte de transformation numérique? Cloud public ou cloud privé, la notion du cloud doit évidemment être intégrée dans les politiques de sécurité des systèmes d’informations. Qu’en est-il concrètement ? Eclairage de RSSI.
Les enjeux de la sécurité du Cloud
Les 3 freins au Cloud et sa sécurité
Les RSSI ont une vision très précise de la sécurité au sein des démarches et adoption du Cloud. Si les données des entreprises sont stockées dans le Cloud (pour plus de 90% des entreprises), certaines données ne sont toujours pas stockées dans le Cloud pour 3 raisons :
– Attente d’un Cloud souverain français
– Interdiction par la politique de sécurité de l’entreprise
– Non-maîtrise des données
Côté usage du Cloud, les architectures on premises remportent la palme avec 63%, suivies des Cloud publics PaaS et SaaS (29%) et du Cloud privé IaaS (24%).
Entre PSSI et contrats Cloud
Le Cloud devrait être intégré dans la Politique de Sécurité des Systèmes d’Information (PSSI), or dans les faits, plus de 47% n’ont pas intégré formellement le sujet Cloud dans leur PSSI, plus de 26% ont adapté leur PSSI actuelle pour tenir compte des enjeux du Cloud, et 25% seulement ont établi un politique sécurité spécifique Cloud.
Les PSSI des fournisseurs Cloud sont le plus souvent communiquées sur leur site et annexées au contrat, mais peuvent changer à tout moment. Dans certains cas, elles ne soient pas consultables.
La plupart des RSSI avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. Pour 62%, il n’est pas possible d’identifier les sous-traitants du fournisseur dans le contrat Cloud. De plus, le fournisseur ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.
De l’audit au plan de continuité
Si l’on considère la capacité de l’entreprise à auditer leurs solutions Cloud, 43% peuvent effectuer des audits avec préavis, et une fois par an, mais 28% ne peuvent pas faire d’audit et se contentent des synthèses des rapports d’audit, 19% ne peuvent ni auditer ni avoir accès aux résultats d’audit mais obtiennent seulement les résultats de certification.
Quant aux plans de continuité et DRP, ceux-ci n’ont pas été révisés pour 49%, ils ont été révisés et complexifiés pour 25% et simplifiés également pour 25%.
Enfin, 70% interdisent systématiquement tout usage de leurs données par le fournisseur, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées. Et si l’on aborde le GDPR, 58% des RSSI indiquent que le positionnement des solutions témoigne d’une conformité non-satisfaisante au GDPR.
Etude CESIN (RSSI) – 23 juin au 3 juillet 2017
Téléchargez cette ressource
État des lieux de la sécurité cloud-native
L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- L’Azure Lab Experience du 5 juin 2018 adressera la synchronisation de vos serveurs de fichiers dans le Cloud
- Modèle de benchmark / modèle de performance SI : lequel choisir ?
- Quels sont les bénéfices d’une stratégie multi-Cloud ?
- Migration de VMware à Hyper-V sans effort
- Une belle réussite pour Ready for IT 2019 !
Les plus consultés sur iTPro.fr
- Renouvellement des certificats SSL tous les 45 jours : une mise en œuvre impossible sans automatisation ?
- Palo Alto Networks s’engage sur la cyber solidarité
- Recrudescence des cyberattaques pilotées par l’IA
- Quelles salles de réunion renforcent la dynamique et la confiance d’équipe ?
- L’intelligence collective dans l’ère numérique
