Le Cesin passe au scalpel la sécurité du cloud
Le Cesin publie une étude sur la sécurité du cloud, menée auprès de ses adhérents,elle n'épargne pas les fournisseurs.
PublicitéCertaines de vos données sont-elles stockées dans le cloud ? A cette question, 90% des responsables du Cesin (*) interrogés (**) ont répondu par l'affirmative. Les minoritaires invoquent l'absence de cloud souverain et l'interdiction formelle par la politique de sécurité de l'entreprise d'une démarche de stockage dans le cloud. Les autres, ceux qui font partie des 90%, répartissent leurs applications entre des architectures on premise, 63%, des clouds publics (PaaS et SaaS), 29%, des clouds privés IaaS, 24%.
Dans ce paysage, la sécurité est abordée assez légèrement. Seulement 25% des entreprises déclarent suivre une politique spécifique cloud, 27% ont adapté leur PSSI (Politique de sécurité des systèmes d'information) pour tenir compte du cloud, 48% n'ont pas intégré formellement ce cloud, dans leur PSSI. Les fournisseurs n'ont pas le beau rôle, 58% des RSSI interrogés n'arrivent pas à modifier les contrats de leurs prestataires en SaaS, 40% y arrivent, mais difficilement, 23% sont satisfaits. A 62%, ils déplorent que les sous-traitants ne soient pas nommés dans le contrat, 37% assurent le contraire ... tout en déplorant que le prestataire puisse changer de sous-traitant sans préavis.
Les fournisseurs limitent les audits des clients
Comment réagit ce fournisseur en cas de faille de sécurité (sur une infrastructure AWS ou Azure par exemple) ? Dans 72% des cas, il n'endosse pas la responsabilité et renvoie aux contrats, dans 28% il endosse cette responsabilité. Les procédures d'audit semblent se dérouler un peu mieux. Pour 43% des RSSI interrogés, audits et tests de pénétration sont possibles (moyennant préavis et pas plus d'une fois par an), dans 29% des cas c'est le fournisseur qui fournit son propre audit, dans 20% pas d'audit du tout, mais des certifications, dans 9% des cas, ni audit, ni certification.
L'étude passe également au scalpel la responsabilité des entreprises elles-mêmes. Leur connexion aux applications SaaS passe à 78% par un proxy, à 22% en direct sur Internet. Les interfaces inter-applications dans le cloud sont gérées, à 85%, en étoile entre chaque application SaaS et le SI interne, en peer to peer de SaaS à SaaS pour 11%, avec un EAI cloud dans 4% des cas. A 49%, ils estiment ne pas avoir révisé leurs plans de continuité et leurs DRP (Disaster Recovery Plan), 25% les ont révisé mais les trouvent plus complexes, 25% les ont révisé et simplifié.
(**) Le Cesin est partenaire de l'édition 2017 de l'IT Tour, le tour de France organisé par le Monde Informatique : Inscriptions et programme à cette adresse.
(*) Etude menée du 23 juin au 3 juillet auprès de 91 RSSI membres du Cesin.
Article rédigé par
Didier Barathon, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire