Créez votre valeur de manager IT
Rechercher

Sécurité et cloud : les RSSI restent encore prudents

Sécurité et cloud : les RSSI restent encore prudents

A l’occasion de la Cloud Week 2017, le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN), a sondé les RSSI sur les enjeux de la sécurité du cloud pour les entreprises françaises. Les responsables sécurité sont toujours prudents à l’égard de la confidentialité des données dans le cloud, surtout public. L’enquête révèle que 90% des RSSI stockent certaines de leurs données dans un cloud, cependant seulement
29% des répondants déclarent avoir recours au cloud public.

Les raisons invoquées pour cette relative faible proportion d’usage de ce type de service sont la perte de maîtrise des données, voire une interdiction par la politique sécurité de l’entreprise, tandis que certains mentionnent l’attente de l’émergence d’un cloud français souverain.

« La sensibilité stratégique du SI et de ses actifs connectés ainsi que le caractère réversible des solutions et l’indépendance face au vendeur sont des éléments déterminants quant aux choix de la technologie et du fournisseur », précise l’étude. Ces critères auront des conséquences opérationnelles et juridiques, notamment concernant la protection des données sensibles et plus particulièrement dans le cadre la nouvelle réglementation GDPR applicable le 25 mai 2018.

Mais, dans la majorité des cas, les entreprises n’ont pas formellement intégré le cloud dans leur politique de sécurité des systèmes d’information. Ainsi, six RSSI sur dix indiquent que le positionnement de ces solutions est loin d’une conformité satisfaisante au GDPR. La plupart d’entre eux avouent ne pas être en mesure de modifier les contrats passés avec les grands fournisseurs de solutions SaaS. En outre, pour 62% des RSSI, il n’est pas possible d’identifier les sous-traitants du fournisseur. Le sondage souligne que ce dernier ne prend généralement pas la responsabilité des failles de sécurité lorsque la solution SaaS s’appuie par exemple, sur une infrastructure AWS ou Azure.

« Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats », précise Alain Bouillé, Président du CESIN. Concernant l’utilisation des données, 70% des RSSI interdisent systématiquement l’usage des données de leur entreprise par leurs fournisseurs, contre 21% qui l’acceptent, sous réserve qu’elles soient anonymisées et/ou agrégées.

Se pose également la question de la gestion rigoureuse des droits d’accès. Pour 62% des entreprises les utilisateurs mobiles se connectent aux applications directement via Internet, seuls 38 % continuent de passer par le réseau interne via VPN avant d’accéder à l’application SaaS.

Les RSSI estiment que le cloud présente plusieurs avantages, par rapport à l’usage de solutions On Premise. Ainsi, pour 89% des RSSI, l’usage du cloud garantit la haute disponibilité et la continuité d’activité. Il participe aussi largement à la protection physique des environnements. Néanmoins, selon les RSSI, il affaiblit les moyens de sécurisation logique, l’isolation des environnements, la possibilité de monitoring, la souplesse de la relation contractuelle, et pour 80 % la protection des données. Autre inconvénient : la dépendance à l’égard du prestataire de cloud. Pour traiter ce problème, 67% des RSSI ont dû renforcer la résilience dans les accès à Internet et les architectures DNS... ce qui a souvent une incidence significative sur le coût du projet !

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Best Practices
Mises en œuvre

    Cette première édition des Best Practices mises en oeuvre regroupent des recommandations, des conseils et des méthodologies issues de retours d'expérience de DSI et de l'expertise de nos équipes. La centaine d'articles retenus abordent la stratégie et le management du SI, la gestion de projet, la valorisation de la DSI, le sourcing et le pilotage de la DSI.

  • Best Practices Spotlight 
Atlas - Édition 2017

    L’Atlas du DSI regroupe tous les sujets publiés dans le cadre du service de benchmarking et de veille Best Practices Spotlight. L’Atlas du DSI propose des articles synthétiques pour rester à l'état de l'art, des chiffres-clés pour se benchmarker, des argumentaires pour convaincre les métiers, des bonnes pratiques à partager avec vos équipes et des résumés d'études que vous n'avez jamais le temps de lire.

  • Best Practices Revues et Corrigées - édition 2017

    Cet ouvrage regroupe tout ce qu’il faut savoir pour manager les systèmes d’information. Chaque thème est traité en trois parties. D’abord, une présentation de la « Best Practice », qui en explique la genèse, les développements et les principes. Ensuite, un regard critique, qui met en exergue les points faibles, les éléments de débat et de controverse.

A ne pas manquer

  • Cybermenaces et transformation des pratiques de sécurité

    Les entreprises n’ont jamais autant investi pour protéger leurs systèmes d’information. Dans le même temps, elles n’ont jamais été aussi vulnérables face aux cybermenaces.

  • Comment rater...
son audit informatique

    L’audit informatique est souvent considéré comme un mal nécessaire, mais c'est surtout un outil bien utile pour dresser un état des lieux, identifier les points faibles et élaborer un plan d'action. Du moins lorsque tout va bien...

  • Comment rater… 
son projet RGPD

    En mai 2018, toutes les entreprises devront se conformer au RGPD (Règlement Général sur la Protection des Données personnelles). Il est possible de rater votre projet RGPD : en suivant ces treize commandements qui portent malheur !

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris