Quelle est l’évolution des pratiques liées à l’adoption du Cloud dans le contexte de transformation numérique? Cloud public ou cloud privé, la notion du cloud doit évidemment être intégrée dans les politiques de sécurité des systèmes d’informations. Qu’en est-il concrètement ? Eclairage de RSSI.
Les enjeux de la sécurité du Cloud
Les 3 freins au Cloud et sa sécurité
Les RSSI ont une vision très précise de la sécurité au sein des démarches et adoption du Cloud. Si les données des entreprises sont stockées dans le Cloud (pour plus de 90% des entreprises), certaines données ne sont toujours pas stockées dans le Cloud pour 3 raisons :
– Attente d’un Cloud souverain français
– Interdiction par la politique de sécurité de l’entreprise
– Non-maîtrise des données
Côté usage du Cloud, les architectures on premises remportent la palme avec 63%, suivies des Cloud publics PaaS et SaaS (29%) et du Cloud privé IaaS (24%).
Entre PSSI et contrats Cloud
Le Cloud devrait être intégré dans la Politique de Sécurité des Systèmes d’Information (PSSI), or dans les faits, plus de 47% n’ont pas intégré formellement le sujet Cloud dans leur PSSI, plus de 26% ont adapté leur PSSI actuelle pour tenir compte des enjeux du Cloud, et 25% seulement ont établi un politique sécurité spécifique Cloud.
Les PSSI des fournisseurs Cloud sont le plus souvent communiquées sur leur site et annexées au contrat, mais peuvent changer à tout moment. Dans certains cas, elles ne soient pas consultables.
La plupart des RSSI avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. Pour 62%, il n’est pas possible d’identifier les sous-traitants du fournisseur dans le contrat Cloud. De plus, le fournisseur ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.
De l’audit au plan de continuité
Si l’on considère la capacité de l’entreprise à auditer leurs solutions Cloud, 43% peuvent effectuer des audits avec préavis, et une fois par an, mais 28% ne peuvent pas faire d’audit et se contentent des synthèses des rapports d’audit, 19% ne peuvent ni auditer ni avoir accès aux résultats d’audit mais obtiennent seulement les résultats de certification.
Quant aux plans de continuité et DRP, ceux-ci n’ont pas été révisés pour 49%, ils ont été révisés et complexifiés pour 25% et simplifiés également pour 25%.
Enfin, 70% interdisent systématiquement tout usage de leurs données par le fournisseur, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées. Et si l’on aborde le GDPR, 58% des RSSI indiquent que le positionnement des solutions témoigne d’une conformité non-satisfaisante au GDPR.
Etude CESIN (RSSI) – 23 juin au 3 juillet 2017
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Quels sont les bénéfices d’une stratégie multi-Cloud ?
- 2023 ou la fin du Cloud …
- Modèle de benchmark / modèle de performance SI : lequel choisir ?
- L’Azure Lab Experience du 5 juin 2018 adressera la synchronisation de vos serveurs de fichiers dans le Cloud
- Le Cloud : une accélération depuis la crise du Covid-19
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !
