Pour un cloud plus fiable : renforcer l’auditabilité et la transparence au service de la sécurité

Les réglementations, telles que le RGPD ou SecNumCloud, mettent d’ailleurs en avant le rôle essentiel de l’auditabilité, rendue incontournable pour les clients, dans la mesure où, en cas d’incident de sécurité, la question de la réalité des contrôles ou des audits effectués se pose immédiatement.

Toutefois, compte tenu des limites du modèle d’audit, une évolution des modalités de mise en œuvre de la transparence et de l’auditabilité apparaît nécessaire pour renforcer la sécurité et consolider la confiance entre fournisseurs cloud et clients.

Olivier Lavaux, RSSI, Numspot partage son analyse et ses conseils.

Une exigence d’audit de plus en plus forte mais encore imparfaite

Les cadres réglementaires actuels imposent des niveaux d’exigence croissants en matière d’auditabilité, amenant les fournisseurs à informer leurs clients de l’avancement de leurs démarches d’amélioration, notamment pour se prémunir en cas d’incident de sécurité. Les audits réguliers permettent ainsi d’évaluer la gestion des non-conformités et les progrès réalisés sur les services. Toutefois, ces non-conformités restent souvent peu exposées, les fournisseurs mettant davantage en avant les éléments conformes que les écarts identifiés.

Si l’audit reste indispensable, il est aussi intrusif, complexe et coûteux pour le client. Le recours à un auditeur indépendant, sans lien préalable avec les parties, ainsi que le respect de règles éthiques strictes, sont des conditions nécessaires. Par ailleurs, l’audit fonctionne selon une logique de sélection : les périmètres analysés sont choisis par l’auditeur en fonction de ses compétences et de son expérience, ce qui conduit à laisser de côté certains sujets potentiellement sensibles pour le client. Les constats établis peuvent légitimement être remis en question dans leur capacité à refléter pleinement les attentes réelles en matière de sécurité.

Olivier Lavaux, RSSI, Numspot

Des cadres de sécurité à enrichir pour mieux couvrir les besoins opérationnels

Les référentiels de certification et de qualification jouent un rôle clé dans l’amélioration continue des pratiques de sécurité. Toutefois, en se concentrant sur un ensemble de principes fondamentaux, ils peuvent apparaître insuffisants pour répondre de manière exhaustive aux besoins concrets des clients.

Pour dépasser cette limite, la relation de sécurité entre fournisseur et client doit être encadrée contractuellement. Dès l’engagement initial, une matrice des responsabilités doit être définie afin de préciser les obligations respectives et de consolider le cadre de confiance.

Ce mécanisme permet d’organiser clairement la répartition des responsabilités en matière de sécurité des données. Le fournisseur doit non seulement satisfaire aux exigences réglementaires et légales, mais aussi prendre en compte les attentes spécifiques de ses clients et démontrer sa capacité à s’y adapter. Cela implique la mise en place de dispositifs d’assurance sécurité alignés sur ces attentes, ainsi qu’un suivi transparent tout au long de la prestation. Les principes fondamentaux de sécurité, tels que le chiffrement des données, la défense en profondeur et la gouvernance, doivent structurer cette démarche.

Le fournisseur doit comprendre que sa responsabilité, comme le stipule la distinction de la Cnil, n’inclut que la sécurité « du cloud » et non la sécurité « dans le cloud », qui relève du client.

Dans ce contexte, la contribution du fournisseur consiste à apporter la transparence nécessaire pour permettre au client d’assurer cette sécurité.

La transparence comme levier central de la relation de confiance

La transparence constitue un élément déterminant pour renforcer la relation de confiance, tout en facilitant le contrôle et l’évaluation du niveau global de sécurité, tant du cloud que dans le cloud. Elle repose sur un partage régulier d’informations par le fournisseur, permettant de suivre l’évolution des non-conformités ainsi que des actions correctives mises en œuvre dans le cadre des services proposés.

Une telle démarche permet de mettre en évidence les vulnérabilités prises en compte et d’illustrer l’engagement du fournisseur dans une amélioration continue de ses dispositifs de sécurité. Elle favorise également une gouvernance active et continue entre les parties. L’objectif n’est pas de supprimer les audits, mais d’en simplifier la mise en œuvre et d’en améliorer l’efficacité pour l’ensemble des acteurs concernés.

Le renforcement de la transparence et de l’auditabilité ne remet pas en cause les certifications, mais vient prolonger la logique d’amélioration continue qu’elles portent. Les entreprises doivent être en mesure de maîtriser la sécurité de leurs données dans le cloud et d’en apporter la preuve. Le choix d’un cloud transparent et de confiance facilite ce contrôle et permet de répondre aux exigences réglementaires actuelles et futures.

Dans cette perspective, une responsabilisation accrue des entreprises est également nécessaire en matière de gestion des risques. La mise en place de dispositifs de contrôle adaptés vis-à-vis des fournisseurs s’avère indispensable. Une analyse de risque préalable permet d’identifier les modalités de contrôle du fournisseur et d’assurer une répartition maîtrisée des responsabilités en cas d’incident de sécurité.

La transparence, la confiance et une approche proactive de la sécurité constituent ainsi les fondements d’un cloud auditable, sécurisé et fiable, capable de répondre aux besoins évolutifs des entreprises dans un environnement technologique en constante mutation.