La conformité aux réglementations est de plus en plus stricte pour les fournisseurs de services Cloud (CSPSs) - et les entreprises qui fournissent des services IT externalisés - en particulier en matière de protection des données, qui devient un enjeu de plus en plus important. La fidélité et la confiance des clients sont fragiles et la conformité avec les normes de l’industrie et les réglementations est essentielle pour les gagner et les conserver.

« Les fournisseurs de services Cloud considèrent que la conformité est vitale. Cependant d’un côté, elle est essentielle à leur réussite, de l’autre, elle représente un fardeau chronophage pour les entreprises », commente Sándor Biczók, IT Risk Advisor chez KPMG en Hongrie.

> Environ 60 % des fournisseurs de services Cloud consacrent plus de 10 % de leur budget informatique annuel pour des investissements liés à la conformité de la sécurité informatique. > Près d’un fournisseur sur 5 consacre plus de 20 % de son budget annuel pour tout ce qui a attrait à la conformité, ce qui est bien supérieur à la moyenne du marché.

> Plus des 2/3 des personnes interrogées respectent la conformité des normes pour garantir la sécurité des opérations. Ce résultat est une évolution positive, car il indique que la plupart des fournisseurs de services Cloud considèrent les réglementations de l’industrie comme un cadre pour le développement de leurs pratiques de gestion des risques. En outre, la grande majorité des personnes interrogées utilise la conformité pour maintenir leur réputation et gagner de nouveaux clients, ce qui montre clairement que les fournisseurs de services voient la conformité comme un élément indispensable pour renforcer la confiance de leurs clients.

> La plupart des fournisseurs de services IT estiment que la conformité avec les normes internationales (ISO 27001, PCI DSS, etc.) est importante. Naturellement, les règles de protection des données du pays où réside le data center du fournisseur de services est également un élément important. Il est cependant intéressant de noter que les règlementations juridiques reposent sur les principes de certaines normes internationales.

« Il s’avère que le contrôle d’accès des utilisateurs à privilèges, ainsi que la gestion de logs sont des éléments essentiels pour les fournisseurs de services dans leurs stratégies de conformité, tandis que les technologies de base, comme les antivirus et les firewalls sont devenus moins importants qu’auparavant », explique Gábor Marosvári, directeur marketing produit chez BalaBit.

Pour plus de la moitié des personnes interrogées (57 %), la surveillance des accès internes et externes à l’infrastructure Cloud est également importante. Ceci peut s’expliquer par le fait que les systèmes de surveillance d’accès fournissent des preuves solides pour les fournisseurs de services en cas de litiges avec leurs clients, et peuvent permettre de régler les désaccords rapidement et à moindre coût.

« Il ressort clairement de cette étude que la plupart des fournisseurs de services ont recours à des systèmes de gestion d’utilisateurs et à des systèmes d’autorisation et d’authentification. Cependant, seuls 42 % surveillent et analysent l’activité des utilisateurs à privilèges. Sans le bon outil d’audit, il est impossible de déterminer avec certitude « qui a fait quoi » sur un réseau, ce qui peut mener à des querelles de responsabilité et à des investigations couteuses », conclut Marosvári.

L’étude a été menée auprès de 120 DSI et fournisseurs de services Cloud et a été réalisée en février 2014. Cette étude est disponible à l’adresse : http://www.kpmg.com/HU/en/IssuesAndInsights/ArticlesPublications/Documents/20140718-IT-Security-Compliance-for-Cloud-Service-Providers-m.pdf