Certaines de vos données sont-elles stockées dans le cloud ? A cette question, 90% des responsables du Cesin interrogés lors d'une étude menée du 23 juin au 3 juillet auprès de 91 RSSI membres de cette association, ont répondu par l'affirmative. Les minoritaires invoquent l'absence de cloud souverain et l'interdiction formelle par la politique de sécurité de l'entreprise d'une démarche de stockage dans le cloud. Les autres, ceux qui font partie des 90%, répartissent leurs applications entre des architectures on premise, 63%, des clouds publics (PaaS et SaaS), 29%, des clouds privés IaaS, 24%.
Dans ce paysage, la sécurité est abordée assez légèrement. Seulement 25% des entreprises déclarent suivre une politique spécifique cloud, 27% ont adapté leur PSSI (Politique de sécurité des systèmes d'information) pour tenir compte du cloud, 48% n'ont pas intégré formellement ce cloud, dans leur PSSI. Les fournisseurs n'ont pas le beau rôle, 58% des RSSI interrogés n'arrivent pas à modifier les contrats de leurs prestataires en SaaS, 40% y arrivent, mais difficilement, 23% sont satisfaits. A 62%, ils déplorent que les sous-traitants ne soient pas nommés dans le contrat, 37% assurent le contraire ... tout en déplorant que le prestataire puisse changer de sous-traitant sans préavis.
Les fournisseurs limitent les audits des clients
Comment réagit ce fournisseur en cas de faille de sécurité (sur une infrastructure AWS ou Azure par exemple) ? Dans 72% des cas, il n'endosse pas la responsabilité et renvoie aux contrats, dans 28% il endosse cette responsabilité. Les procédures d'audit semblent se dérouler un peu mieux. Pour 43% des RSSI interrogés, audits et tests de pénétration sont possibles (moyennant préavis et pas plus d'une fois par an), dans 29% des cas c'est le fournisseur qui fournit son propre audit, dans 20% pas d'audit du tout, mais des certifications, dans 9% des cas, ni audit, ni certification.
L'étude passe également au scalpel la responsabilité des entreprises elles-mêmes. Leur connexion aux applications SaaS passe à 78% par un proxy, à 22% en direct sur Internet. Les interfaces inter-applications dans le cloud sont gérées, à 85%, en étoile entre chaque application SaaS et le SI interne, en peer to peer de SaaS à SaaS pour 11%, avec un EAI cloud dans 4% des cas. A 49%, ils estiment ne pas avoir révisé leurs plans de continuité et leurs DRP (Disaster Recovery Plan), 25% les ont révisé mais les trouvent plus complexes, 25% les ont révisé et simplifié.
Retrouvez le Cesin sur l'édition 2017 de l'IT Tour, le tour de France organisé par le Monde Informatique : Inscriptions et programme à cette adresse avec à chaque étape l'un de ses membres pour aborder les problématiques sécurité et GDPR.