Alors que quasi tous les décideurs IT utilisent le cloud, leurs infrastructures dans le cloud se font plus complexes, mais sécurité et conformité ont du mal à suivre...
Premier constat, aujourd’hui 98 % des DSI (sur un échantillon de plus de 1.000 décideurs IT) disent utiliser le cloud ‘dans une certaine mesure’. Cela se traduit en moyenne par la moitié de l’infrastructure des entreprises qui repose aujourd’hui sur le cloud. Mais dans le même temps, la sécurité est en retrait. Non pas que les DSI n’y sont pas sensibilisés, elle reste leur première préoccupation, mais le rythme d’évolution et d’adoption des technologies de cloud est tel que la complexité augmente et la sécurité ne suit pas.
Top 3 des préoccupations des DSI sur le cloud
Alors que le cloud s’est généralisé, la sécurité du cloud demeure la principale préoccupation des DSI. Le classement de leurs préoccupation s’établit ainsi :
- 58 % - Sécurité
- 55 % - Protection des données sensibles contre les accès non autorisés
- 44 % - Complexité accrue de l’infrastructure
Premier constat, ces trois préoccupations sont proches, sécurité et protection des données peuvent même être confondues, et la complexité influe fortement sur les précédentes. Dans les faits, le résultat est même parfois surprenant, par exemple :
- 39 % des DSI ne disposent pas de piste de sécurité pour la continuité d’exécution des machines virtuelles dans le cloud ;
- 33 % ne cryptent que partiellement leurs données dans le cloud.
La responsabilité partagée est mise à mal
Autre sujet d’inquiétude relatif à la sécurité du cloud, le concept commun de responsabilité partagée est loin d’afficher l’universalité annoncée. Là encore les chiffres parlent d’eux-mêmes, par exemple sur la responsabilité de la conformité des données stockées sur des services cloud :
- 39 % des DSI se considèrent responsables ;
- 20 % considèrent leurs fournisseurs responsables et s’estiment couverts par leur SLA.
En la matière, et dans le système anglo-saxon, la première s’applique, l’entreprise est responsable de ses données même lorsqu’elles sont à l’extérieur du SI…, mais en aucun cas, sauf contractualisation spécifique, la seconde, le fournisseur n’est pas considéré comme responsable.
Un simple exemple de cette incompréhension qui touche un grand nombre d’entreprises : Amazon AWS. Si vous lisez l’indigeste contrat qui vous lie à ce fournisseur de cloud (rassurez-vous, les clouds Microsoft Azure, Google ou IBM ne font pas mieux!), vous découvrirez que le fournisseur de cloud se déclare responsable de la sécurité ‘du’ cloud - calcul, stockage, mise en réseau -, tandis que le client est responsable de la sécurité ‘dans’ le cloud, comme les données clients, les applications et la gestion des identités et des accès.
Le DSI doit impérativement mettre en place des contrôles pour gérer et crypter la donnée s’il ne veut pas prendre le risque de la retrouver dans le domaine public... Le RGPD en Europe va bientôt changer les règles !
Source : étude WinMagic menée par Viga auprès de plus de 1.000 décideurs IT
Image d’entête 521130174 @ iStock Varijanta