A cette question, les entreprises répondent majoritairement que la responsabilité de la protection des données et le respect de la vie privée reviennent aux fournisseurs de services Cloud. Elles se trompent...
Nous sommes dans une phase de convergence entre deux tendances majeures de l’informatique et de la transformation digitale des entreprises : la barre des 50% de budgets de l’informatique consacrés au cloud sera franchie au cours des deux prochaines années ; la responsabilité de la protection des données va être transformée avec la GDPR dont l’application s’imposera dès l’année prochaine.
Une première étape a été franchie dans l’adoption du cloud. Le déploiement de toute nouvelle application ou d’un workload passe désormais par le cloud pour 56% des entreprises. Corolaire de ce mouvement vers le nuage, il n’y a guère plus que 2% des entreprises à résister à la vague du cloud et à continuer d’affirmer qu’elles ne l’adopteront pas dans les prochaines années.
Selon une étude conduite par Vanson Bourne, 67% des 1200 entreprises interrogées, soit près de 2 sur 3, déclarent qu’elles utilisent ou prévoient de s’appuyer sur au moins deux fournisseurs de cloud en mode IaaS (Infrastructure as a Service) afin d’améliorer la résilience et la sécurité des données, de réduire les dépenses en capital (Capex) et les frais opérationnels (Opex). Ce chiffre démontre qu’une fois passée l’étape de la maturité sur le cloud computing, les entreprises adoptent aujourd’hui une approche multi-cloud.
Qu’en est-il de la responsabilité de la gestion des données ?
Une fois cette tendance acceptée, elle se traduit par un accroissement du recours au cloud public. Seulement sur ce plan plane un doute, celui de la responsabilité de la gestion des données : relève-t-elle de l’entreprise ou du fournisseur de cloud ?
- 69% des entreprises pensent que la protection, la confidentialité et la conformité des données relèvent de la responsabilité des fournisseurs de service cloud.
- Un chiffre qui grimpe à 83% lorsque l’on considère les entreprises qui ont recours au IaaS, qui considèrent que c’est à leur fournisseur de veiller à la protection de leurs données dans le cloud.
- 55% des entreprises pensent que la disponibilité de l’application est de la responsabilité du fournisseur de cloud.
- 54% des entreprises considèrent qu’assurer un transfert sécurisé des données sur site et dans le cloud est une responsabilité qui revient au fournisseur de service cloud.
- Et 51% estiment que le fournisseur de service cloud est responsable de la sauvegarde des volumes chargés dans le cloud.
C’est bien l’entreprise qui détient la responsabilité de ses données dans le cloud
Si les chiffres montrent qu’une majorité d’entreprises pensent que la responsabilité de la sécurité de leurs données relève des fournisseurs de cloud public, il s’agit d’une idée fausse, et la réalité est tout autre. Il suffit de lire les contrats des fournisseurs. Autant vous le dire immédiatement, c’est une lecture rébarbative, à laquelle peu de leurs clients se livrent. Elle est pourtant riche de nombreux enseignements et de surprises inattendues.
A l’exemple de ces clauses qui stipulent que ce sont les clients qui détiennent la responsabilité de la gestion des données des consommateurs !
Cette méconnaissance ne risque pas de s’interrompre. Selon l’étude, 75% des entreprises travaillent avec un fournisseur IaaS de cloud public. Et 58% de ces entreprises souhaitent étendre leur portefeuille à de multiples plateformes de cloud.
Un évènement, pourtant, pourrait bien inverser la courbe des croyances : le GDPR. En effet, l’évolution des règles européennes de protection des données personnelles est porteuse de contraintes qui devraient réveiller l’attention des entreprises. ‘Devrait’, car la majorité de nos entreprises se sont montrées bien légère sur ce sujet, et prennent du retard – pour peu qu’elles aient commencé ! – pour se mettre en conformité (lire nos articles).
Trois étapes de la GDPR militent pour qu’enfin les entreprises prennent conscience de leurs erreurs sur la question de la responsabilité des données dans le cloud : la prise de conscience de la problématique, dont l’échéance est proche ; l’incontournable inventaire des données, des infrastructures et des solutions ; l’implication reconnue des sous-traitants et la nécessité de revoir leurs contrats.
Conclusion
Les entreprises sont responsables de la gestion et de la protection de leurs données. Et elles doivent prendre en considération tous les aspects de la gestion pendant leur parcours d’adoption du cloud, de la protection des données à la mise en conformité en passant par la portabilité de la charge de travail, et jusqu’à la continuité des activités de l’entreprise et l’optimisation du stockage.
Source : étude « Truth in Cloud », conduite par Vanson Bourne pour Veritas
Image d’entête 622920142 @ iStock KruIUA