Les enjeux de la sécurité du Cloud

Les RSSI au chevet du Cloud

Avec le développement du Cloud, le métier du RSSI se transforme pour répondre aux enjeux de sécurité.

Si la part contractuel de leur travail a sensiblement augmenté (87%), leur politique de sécurité devient un agglomérat hétérogène de diverses politiques Cloud (40%).

Les 3 freins au Cloud

Les RSSI ont une vision très précise de la sécurité liée à l’adoption du Cloud. Si les données des entreprises sont stockées dans le Cloud (pour plus de 90% des entreprises), certaines données n’y sont toujours pas stockées pour 3 raisons :

• L’attente d’un Cloud souverain français
• L’interdiction par la politique de sécurité de l’entreprise
• La non-maîtrise des données

Côté usage, voyons comment se répartissent les applications entre les différentes infrastructures : les architectures on-premises remportent la palme avec 63%, suivies des Cloud publics PaaS et SaaS (29%) et du Cloud privé IaaS.

Entre PSSI et contrats Cloud

Le Cloud doit être intégré au sein de la Politique de Sécurité des Systèmes d’Information (PSSI), or dans les faits :

• plus de 47% n’ont pas intégré formellement le sujet Cloud dans leur PSSI
• plus de 26% ont adapté leur PSSI actuelle pour tenir compte des enjeux du Cloud
• 25% seulement ont établi une politique sécurité spécifique Cloud

Les PSSI des fournisseurs Cloud sont le plus souvent communiquées sur leur site et annexées au contrat, mais peuvent changer à tout moment. Dans certains cas, elles ne soient pas consultables.

Alors, comment estimer l’influence des RSSI dans la contractualisation de solutions SaaS ? Différents niveaux se présentent :

• 23% parviennent à négocier des conditions de sécurité satisfaisantes
• 40% négocient quelques conditions de sécurité (difficilement et parfois sans accord avec le juridique)
• les contrats des grands fournisseurs de solutions en mode SaaS ne sont quasiment pas modifiables (58%)

C’est ainsi que la plupart des RSSI ne sont pas en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. De plus, pour 62%, il est impossible d’identifier les sous-traitants du fournisseur dans le contrat Cloud.

Enfin, le fournisseur ne prend généralement pas la responsabilité des failles de sécurité (71%) lorsque la solution SaaS s’appuie, par exemple, sur une infrastructure AWS ou Azure.

De l’audit au plan de continuité

Si l’on considère la capacité de l’entreprise à auditer leurs solutions Cloud :

• 43% peuvent effectuer des audits avec préavis, et/ou des tests de pénétration, une fois par an
• 28% ne peuvent pas faire d’audit et se contentent des synthèses des rapports d’audit
• 19% ne peuvent ni auditer ni avoir accès aux résultats d’audit mais obtiennent seulement les résultats de certification
• 9% ne peuvent ni auditer, ni avoir de résultats d’audit et de certification

Le monitoring est un élément crucial de la sécurité du Cloud. Pour autant, récupérer et monitorer les logs des solutions SaaS est loin d’être une phase simple et fluide, puisque :

• 43% peuvent récupérer les logs ponctuellement (à la demande mais sans engagement contractuel du partenaire)
• 28% ne récupèrent aucun log (non disponibles)
• 25% récupèrent les logs en temps réel (via une API ou exports programmés)

Quant aux plans de continuité, les indicateurs sont inquiétants :

• Aucune révision des plans (49%)
• Révision mais complexification (25%)
• Simplification (25%)

Les données au cœur de la GDPR

Entrons dans le vif du sujet. Les RSSI peinent à accéder aux PSSI des fournisseurs Cloud :

• ces politiques sont communiquées et annexées au contrat (36 %)
• elles sont communiquées sur le site du fournisseur mais peuvent faire l’objet de modifications à tout moment (36 %)
• elles sont rarement communiquées (27%)

Quant au niveau de sécurité de ces politiques, les indices diffèrent et surprennent, 49% les jugent satisfaisantes, 47% les considèrent moyennes et 3,60% basses

Enfin, place aux données : 70% interdisent systématiquement tout usage de leurs données par le fournisseur, 21% l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées.

Evoquons la GDPR, plus de la majorité des RSSI indiquent que le positionnement des solutions témoigne d’une conformité non-satisfaisante au GDPR et 41% souhaitent des ajustements pour que les solutions soient conformes.

Source CESIN – Cloud Week 2017