Quelle est l’évolution des pratiques liées à l’adoption du Cloud dans le contexte de transformation numérique? Cloud public ou cloud privé, la notion du cloud doit évidemment être intégrée dans les politiques de sécurité des systèmes d’informations. Qu’en est-il concrètement ? Eclairage de RSSI.
Les enjeux de la sécurité du Cloud
Les 3 freins au Cloud et sa sécurité
Les RSSI ont une vision très précise de la sécurité au sein des démarches et adoption du Cloud. Si les données des entreprises sont stockées dans le Cloud (pour plus de 90% des entreprises), certaines données ne sont toujours pas stockées dans le Cloud pour 3 raisons :
– Attente d’un Cloud souverain français
– Interdiction par la politique de sécurité de l’entreprise
– Non-maîtrise des données
Côté usage du Cloud, les architectures on premises remportent la palme avec 63%, suivies des Cloud publics PaaS et SaaS (29%) et du Cloud privé IaaS (24%).
Entre PSSI et contrats Cloud
Le Cloud devrait être intégré dans la Politique de Sécurité des Systèmes d’Information (PSSI), or dans les faits, plus de 47% n’ont pas intégré formellement le sujet Cloud dans leur PSSI, plus de 26% ont adapté leur PSSI actuelle pour tenir compte des enjeux du Cloud, et 25% seulement ont établi un politique sécurité spécifique Cloud.
Les PSSI des fournisseurs Cloud sont le plus souvent communiquées sur leur site et annexées au contrat, mais peuvent changer à tout moment. Dans certains cas, elles ne soient pas consultables.
La plupart des RSSI avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. Pour 62%, il n’est pas possible d’identifier les sous-traitants du fournisseur dans le contrat Cloud. De plus, le fournisseur ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.
De l’audit au plan de continuité
Si l’on considère la capacité de l’entreprise à auditer leurs solutions Cloud, 43% peuvent effectuer des audits avec préavis, et une fois par an, mais 28% ne peuvent pas faire d’audit et se contentent des synthèses des rapports d’audit, 19% ne peuvent ni auditer ni avoir accès aux résultats d’audit mais obtiennent seulement les résultats de certification.
Quant aux plans de continuité et DRP, ceux-ci n’ont pas été révisés pour 49%, ils ont été révisés et complexifiés pour 25% et simplifiés également pour 25%.
Enfin, 70% interdisent systématiquement tout usage de leurs données par le fournisseur, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées. Et si l’on aborde le GDPR, 58% des RSSI indiquent que le positionnement des solutions témoigne d’une conformité non-satisfaisante au GDPR.
Etude CESIN (RSSI) – 23 juin au 3 juillet 2017
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
