L’enquête menée auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) des grands groupes français, révèle l’évolution des pratiques liées à l’adoption massive du cloud. 90% des répondants stockent certaines de leurs données dans un cloud, cependant seulement 29% des répondants déclarent avoir recours au cloud public. Les raisons invoquées pour cette relative faible proportion d’usage de ce type de service sont la perte de maîtrise des données, voire une interdiction par la politique sécurité de l’entreprise tandis que certains mentionnent l’attente de l’émergence d’un cloud français souverain.
Ces solutions doivent garantir à la fois la confidentialité, un très haut niveau de disponibilité et d’intégrité, et être compatibles aux exigences de conformité. La sensibilité stratégique du SI et de ses actifs connectés ainsi que le caractère réversible des solutions et l’indépendance face au vendeur sont des éléments déterminants quant aux choix de la technologie et du fournisseur. Ces critères auront des conséquences opérationnelles et juridiques, notamment concernant la protection des données sensibles et plus particulièrement dans le cadre la nouvelle réglementation GDPR applicable le 25 mai 2018.

Or, dans la majorité des cas, les entreprises n’ont pas formellement intégré le cloud dans leur politique de sécurité des systèmes d’information (PSSI). 58% des RSSI indiquent que le positionnement de ces solutions est loin d’une conformité satisfaisante au GDPR. La plupart d’entre eux avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS, en outre pour 62% des sondés, il n’est pas possible d’identifier les sous-traitants du fournisseur. Le sondage souligne que ce dernier ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.

Alain Bouillé, Président du CESIN, déclare : « Notre participation à la Cloud Week et spécialement aux Etats Généraux du Cloud, nous a permis de rééquilibrer un discours et une vision parfois trop enthousiastes vis-à-vis des solutions cloud en faisant entendre la voix de la sécurité afin, en particulier pour le cloud public, de revenir à la réalité concrète du terrain sans bruit de fond marketing. Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats ».

Si les PSSI des fournisseurs de cloud sont le plus souvent communiquées sur leur site, elles peuvent cependant changer à tout moment. Dans certains cas il arrive qu’elles ne soient pas consultables. Seulement 43% précisent qu’il est possible d’effectuer des audits ou tests de pénétration, moyennant préavis aux fournisseurs et une fois par an au plus.

Ils sont 70% à interdire systématiquement l’usage des données de leur entreprise par leurs fournisseurs, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées.

Encore faut-il être informé, car dans le cadre de l’usage des applications cloud en Shadow IT qui se répand largement dû au caractère simple et le plus souvent gratuit des applications, malgré le risque avéré pour les données, 76% des entreprises n’ont pas encore déployé de dispositif pour détecter ces usages non maîtrisés du cloud.

Se pose aussi la question de la gestion rigoureuse des droits d’accès. Pour 62% des entreprises les utilisateurs mobiles se connectent aux applications directement via Internet, seuls 38% continuent de passer par le réseau interne via VPN avant d’accéder à l’application SaaS.

Lorsqu’on s’interroge sur la pertinence du cloud par rapport aux solutions traditionnelles, les avantages restent toutefois nombreux. Pour 89% l’usage du cloud garantit la haute disponibilité et la continuité d’activité. Il participe aussi largement à la protection physique des environnements. Néanmoins il affaiblit les moyens de sécurisation logique, l’isolation des environnements, la possibilité de monitoring, la souplesse de la relation contractuelle, et pour 80 % la protection des données.

L’usage massif du cloud rend l’entreprise totalement dépendante de la disponibilité d’Internet et de ses fournisseurs d’accès. 67% des répondants ont dû renforcer la résilience dans les accès à Internet, les architectures DNS… ce qui a souvent une incidence significative sur le coût du projet, pas toujours intégré dans le ROI comme de nombreux autres coûts cachés.

Enfin concernant les coûts, 65% jugent le coût d’exploitation (run) de la sécurité du cloud plus élevé ou équivalent aux solutions on-premises.

A propos du CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l’information et du numérique.
Le CESIN est un lieu d’échange de connaissances et d’expériences qui permet la coopération entre experts de la sécurité de l’information et du numérique et entre ces experts et les pouvoirs publics.
Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences.
Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’information et du numérique. Il est force de proposition sur des textes réglementaires, guides et autres référentiels.
Le CESIN réunit plus de 300 membres issus de tous secteurs d’activité : des membres actifs, responsables de la sécurité de l’information dans leur organisation, des membres associés, représentants de diverses autorités en charge de Sécurité de l’Information au plan national, des juristes experts de la sécurité IT.
www.CESIN.fr