Les clients du Cloud ne sont pas suffisamment attentifs à la sécurité
Malgré leurs réserves quant à la sécurité du Cloud Computing, ses utilisateurs ne prennent pas toutes les mesures pour assurer la sécurité de leurs données dans le cadre de services de Cloud Computing, selon un récent sondage conduit auprès de 1 200 DSI aux États-Unis.
Le sondage conduit par CDW LLC, un fournisseur de solutions IT installé à Vernon Hills, dans l’Illinois, auprès de DSI de diverses industries, révèle que 28 % des entreprises utilisent déjà des services Cloud. Les questions de sécurité continuent de rebuter les organisations n’ayant pas recours à ces services (à 45 %), mais elles inquiètent aussi leurs utilisateurs (à 32 %).
Mais les résultats du sondage montrent en outre que les utilisateurs du Cloud Computing n’exploitent pas les fonctions de sécurité à leur disposition, ou qu’ils ne vérifient pas la sécurité de l’infrastructure de leurs fournisseurs. Ainsi seulement 54 % des sondés utilisant le Cloud computing chiffrent leurs données pour leur transmission; 50 % supervisent les accès des salariés aux applications SaaS; et 44 % imposent un changement de mot de passe tous les 90 jours.
«Les bonnes pratiques de sécurité sont valables partout. A de nombreux égards, il faut faire dans un environnement Cloud ce que l’on fait dans un environnement IT traditionnel,» explique David Cottingham, directeur senior services managés de CDW.
Bien sûr, certains éléments de sécurité évoqués dans le sondage, comme la sécurité physique d’un centre de calcul, ne relèvent pas des compétences des entreprises consommatrices de services Cloud. Mais, selon David Cottingham, ces entreprises ne s’assurent pas que leurs fournisseurs assurent effectivement la sécurité de leurs services comme ils le prétendent : seulement 31 % des utilisateurs de services Cloud font effectivement certifier les mesures de sécurité de leurs fournisseurs. Alors qu’ils devraient tous conduire des audits de haut niveau ou demande des preuves des niveaux de sécurité annoncés, qu’il s’agisse de certification PCI DSS ou de rapport SAS 70 Type II.
«Quels sont les standards, les règles et les procédures mises en place par le fournisseur ? Si vous n’obtenez que le silence en réponse à ces questions, pensez à aller voir un autre fournisseur» recommande David Cottingham.
Le sondage a par ailleurs montré que les entreprises utilisent essentiellement les services Cloud pour des applications courantes, comme la messagerie électronique, le stockage de fichiers ou encore la vidéo-conférence. Et pour David Cottingham, les consommateurs de services Cloud jugent probablement que leurs fournisseurs proposent un niveau de sécurité satisfaisant pour ces applications mais préfèrent encore ne pas placer dans Cloud des données vraiment critiques.
Par Marcia Savage, rédacteur de SearchCloudSecurity.com
Adapté de l’anglais par la rédaction