4 points que les RSSI seraient bien inspirés de faire valoir auprès de leur conseil d’administration

4 points que les RSSI seraient bien inspirés de faire valoir auprès de leur conseil d’administration

Le premier groupe, de moindre envergure, réunit ceux qui ne cautionnent pas la migration de leurs données d’entreprise sur des plates-formes Cloud pour des questions de sécurité.

Le second groupe, qui est aussi le plus important, rassemble ceux qui se disent préoccupés par la sécurité Cloud, mais se sont tout de même ralliés au Cloud, volontairement ou non. Leurs entreprises et ces derniers utilisent des plates-formes comme Office 365, Salesforce et Amazon Web Services, ce qui signifie qu’ils associent le Cloud à un espace de stockage des données. Et s’ils ont d’ores et déjà « sauté le pas », ils n’ont pas nécessairement pesé les risques de sécurité induits par cette décision.

Quel que soit le groupe dans lequel s’inscrit votre conseil d’administration, il est primordial d’associer les RSSI à la réflexion menée sur le cloud afin qu’ils puissent exposer aux plus hauts responsables de l’entreprise les raisons pour lesquelles la sécurité ne peut être négligée.

À cette fin, voici les quatre points que les RSSI seraient, à mon sens, bien inspirés de faire valoir auprès des administrateurs lors de ces entretiens (quelque peu délicats) concernant la sécurité Cloud.

1 – Le Cloud est un risque comme un autre

Les conseils d’administration perçoivent plus facilement l’importance de la sécurité Cloud lorsque la formulation employée fait référence aux risques encourus par l’entreprise. Les administrateurs arbitrent des risques au quotidien, dont le Cloud fait partie. Dans les réflexions autour de la sécurité cloud, ils doivent se poser la même question qu’ils soulèveraient dans tout autre contexte à risques : Dans quelle mesure réduisons-nous la gravité des risques encourus par l’entreprise en déployant des données dans le Cloud ?

À chaque application Cloud correspond un jeu de données différent que chaque établissement devra évaluer différemment. Par exemple, si une entreprise stocke dans le cloud des documents marketing orientés grand public, les répercussions d’une éventuelle fuite documentaire ne seraient pas gravissimes. En revanche, si cette société stocke en mode Cloud, la bibliothèque du code source d’un nouveau produit, une fuite du code source en question aurait une incidence plus dramatique.