La plupart des services Cloud font courir des risques aux entreprises européennes
Les entreprises européennes apparaissent vulnérables aux dangers du Cloud alors que seulement 1 % des services Cloud proposent une sécurité de classe entreprise et stockent les données de leurs clients dans les limites juridictionnelles de l’Union Européenne.
Une écrasante majorité - 99 % - des services Cloud stockent les données de leurs clients dans des pays où les règles de protection des données sont moins contraignantes qu’en Europe, ou ne disposent pas de capacités de sécurité de classe entreprise. Quand les deux facteurs ne sont pas réunis… C’est du moins ce que révèle une étude publiée par Skyhigh Networks et baptisée European Cloud adoption and risk report.
Selon celle-ci, les entreprises européennes utilisent en moyenne 588 services Cloud. Mais seulement 9 % des services Cloud concernés disposent de capacités de sécurité de classe entreprise, tandis que les 91 % restant sont susceptible de faire émerger de nouveaux risques de sécurité.
Et concernant la protection des données - notamment personnelles - et leur lieu de stockage, le risque est encore plus grand : 99 % des services Cloud stockent les données de leurs clients dans des pays tels que les Etats-Unis, la Russie ou la Chine, où les réglementations sont moins contraignantes, ou encore que les capacités de sécurité de classe entreprise sont absentes.
L’étude montre que 25 des 30 principaux fournisseurs de services Cloud de collaboration et de partage de contenus sont basés dans des pays situés au-delà des frontières de l’Union. Et malgré tout le bruit médiatique autour de la protection des données personnelles, 72 % des services Cloud utilisés en Europe stockent en fait les données outre-Atlantique.
Ce qui ne va pas sans soulever des questions de conformité réglementaire pour certaines organisations. Et selon le rapport, seulement 5 % des services Cloud en Europe sont certifiés ISO 27001. Avec à la clé, des problèmes de conformité supplémentaires pour ces organisations ignorantes des pratiques de leurs utilisateurs quant aux services Cloud non certifiés.
Le risque du Shadow IT
Et c’est là l’un des principaux risques découlant de ces services Cloud : la prolifération incontrôlée du Shadow IT. Ce terme anglais désigne l’ensemble des produits et services utilisés dans l’entreprise sans approbation ni support de la DSI. Et, justement, une bonne partie de l’adoption des services Cloud se fait passage par la DSI, selon l’étude.
La simplicité d’utilisation des applications Cloud implique généralement une prise en compte limité des questions de sécurité ou des impacts sur les politiques internes. Lorsque les DSI examinent de près l’utilisation des services Cloud au sein de leur organisation, ils constatent généralement un Shadow IT dix fois plus répandu qu’ils ne l’estimaient initialement.
« Les services Cloud permettent assurément aux entreprises d’être agiles, flexibles et efficaces, et les employés devraient être encouragé à les utiliser, » explique Rajiv Gupte, directeur général de Skyhigh Networks. « Mais de nombreux employés sont encore inconscients des risques associés à certains services Cloud et pourraient même compromettre la posture de sécurité globale de leur organisation. »
Les entreprises ont besoin de devenir plus intelligentes en ce qui concerne le Cloud et l’IT a besoin de mieux en comprendre les risques, selon Gupta.
Adapté de l’anglais par la rédaction