Les enjeux de la sécurité du Cloud

Les 3 freins au Cloud et sa sécurité 

Les RSSI ont une vision très précise de la sécurité au sein des démarches et adoption du Cloud. Si les données des entreprises sont stockées dans le Cloud (pour plus de 90% des entreprises), certaines données ne sont toujours pas stockées dans le Cloud pour 3 raisons :

– Attente d’un Cloud souverain français

– Interdiction par la politique de sécurité de l’entreprise

– Non-maîtrise des données

Côté usage du Cloud, les architectures on premises remportent la palme avec 63%, suivies des Cloud publics PaaS et SaaS (29%) et du Cloud privé IaaS (24%).

Entre PSSI et contrats Cloud

Le Cloud devrait être intégré dans la Politique de Sécurité des Systèmes d’Information (PSSI), or dans les faits, plus de 47% n’ont pas intégré formellement le sujet Cloud dans leur PSSI, plus de 26% ont adapté leur PSSI actuelle pour tenir compte des enjeux du Cloud, et 25% seulement ont établi un politique sécurité spécifique Cloud.

Les PSSI des fournisseurs Cloud sont le plus souvent communiquées sur leur site et annexées au contrat,  mais peuvent changer à tout moment. Dans certains cas, elles ne soient pas consultables.

La plupart des RSSI avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. Pour 62%, il n’est pas possible d’identifier les sous-traitants du fournisseur dans le contrat Cloud. De plus, le fournisseur ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.

De l’audit au plan de continuité

Si l’on considère la capacité de l’entreprise à auditer leurs solutions Cloud, 43% peuvent effectuer des audits avec préavis, et une fois par an, mais 28% ne peuvent pas faire d’audit et se contentent des synthèses des rapports d’audit, 19% ne peuvent ni auditer ni avoir accès aux résultats d’audit mais obtiennent seulement les résultats de certification.

Quant aux plans de continuité et DRP, ceux-ci n’ont pas été révisés pour 49%, ils ont été révisés et complexifiés pour 25% et simplifiés également pour 25%.

Enfin, 70% interdisent systématiquement tout usage de leurs données par le fournisseur, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées. Et si l’on aborde le GDPR, 58% des RSSI indiquent que le positionnement des solutions témoigne d’une conformité non-satisfaisante au GDPR.

Etude CESIN (RSSI) – 23 juin au 3 juillet 2017