A l’occasion de la Cloud Week 2017, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), a sondé les RSSI sur les enjeux de la sécurité du cloud pour les entreprises françaises. Les responsables sécurité sont toujours prudents à l’égard de la confidentialité des données dans le cloud, surtout public.
L’enquête révèle que 90% des RSSI stockent certaines de leurs données dans un cloud, cependant seulement 29% des répondants déclarent avoir recours au cloud public. Les raisons invoquées pour cette relative faible proportion d’usage de ce type de service sont la perte de maîtrise des données, voire une interdiction par la politique sécurité de l’entreprise, tandis que certains mentionnent l’attente de l’émergence d’un cloud français souverain.
« La sensibilité stratégique du SI et de ses actifs connectés ainsi que le caractère réversible des solutions et l’indépendance face au vendeur sont des éléments déterminants quant aux choix de la technologie et du fournisseur », précise l’étude. Ces critères auront des conséquences opérationnelles et juridiques, notamment concernant la protection des données sensibles et plus particulièrement dans le cadre la nouvelle réglementation GDPR applicable le 25 mai 2018.
Mais, dans la majorité des cas, les entreprises n’ont pas formellement intégré le cloud dans leur politique de sécurité des systèmes d’information. Ainsi, six RSSI sur dix indiquent que le positionnement de ces solutions est loin d’une conformité satisfaisante au GDPR. La plupart d’entre eux avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. En outre, pour 62% des RSSI, il n’est pas possible d’identifier les sous-traitants du fournisseur. Le sondage souligne que ce dernier ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.
« Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats », précise Alain Bouillé, Président du CESIN. Concernant l’utilisation des données, 70% des RSSI interdisent systématiquement l’usage des données de leur entreprise par leurs fournisseurs, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées.
Se pose également la question de la gestion rigoureuse des droits d’accès. Pour 62% des entreprises les utilisateurs mobiles se connectent aux applications directement via Internet, seuls 38 % continuent de passer par le réseau interne via VPN avant d’accéder à l’application SaaS.
Les RSSI estiment que le cloud présente plusieurs avantages, par rapport à l’usage de solutions On Premise. Ainsi, pour 89% des RSSI, l’usage du cloud garantit la haute disponibilité et la continuité d’activité. Il participe aussi largement à la protection physique des environnements. Néanmoins, selon les RSSI, il affaiblit les moyens de sécurisation logique, l’isolation des environnements, la possibilité de monitoring, la souplesse de la relation contractuelle, et pour 80 % la protection des données. Autre inconvénient : la dépendance à l’égard du prestataire de cloud. Pour traiter ce problème, 67% des RSSI ont dû renforcer la résilience dans les accès à Internet et les architectures DNS… ce qui a souvent une incidence significative sur le coût du projet !