Sécurité des données dans le Cloud, une bataille perdue d’avance ?
Une étude Ponemon pour SafeNet suggère d’importantes lacunes dans la gestion de la sécurité des données stockées dans des services Cloud.
Les services de stockage en mode Cloud s’installent dans la vie des entreprises, qu’elles le souhaitent ou pas. C’est la première conclusion que l’on peut être tenté de tirer de l’étude réalisée par Ponemon pour SafeNet sur le sujet réalisée en août dernier, auprès d’environ 2000 personnes dans le monde entier : de 33 % aujourd’hui, le taux de recours aux services Cloud devrait passer à 41 % d’ici deux ans.
Face à cela, un chiffre pourrait paraître encourageant : 62 % des sondés se disent engagés à protéger les données sensibles et confidentielles dans le Cloud. Mais pour 70 %, gérer la conformité réglementaire de la protection de ces données est plus complexe dans le Cloud qu’en local. Au point que seulement 43 % des sondés revendiquent une approche proactive en la matière. Et seuls 43 % se disent « prudents » lorsqu’il s’agit de partager ce type d’informations avec des tiers – partenaires commerciaux, sous-traitants, ou fournisseurs Cloud. Enfin, seuls 38 % estiment avoir clairement défini rôles et responsabilités pour la protection des données sensibles et confidentielles dans le Cloud.
Mais il y a peut-être une raison simple à cela : 55 % des sondés ne font pas confiance à leur DSI pour connaître l’ensemble des services Cloud utilisés actuellement dans leur organisation ; l’expression d’un sentiment prononcé de prolifération du Shadow IT. Justifié, apparemment : dans 38 % des cas, l’équipe sécurité du SI ne serait que « rarement » impliquée dans les décisions Cloud – contre 34 % « parfois » et 9 % « jamais ». Difficile d’être surpris, alors, si 60 % des sondés estiment que la sécurité pose problème dans le Cloud, et, autant, qu’il augmente les risques de conformité. Dans un tel contexte, le fait que la sécurité ne soit mentionnée que par 15 % des sondés comme élément de choix d’un fournisseur Cloud n’est pas non plus vraiment une surprise… Une sécurité dont l’évaluation prêterait presque à sourire : pour 25 % des sondés, ce sont les utilisateurs finaux qui s’en chargent, et dans 20 % des cas, il n’y a pas de responsable identifié. La RSSI n’est citée là que par 16 % des sondés.
Quant à la formation, elle laisse dubitatif. Dans 56 % des cas, le sujet de la sécurité serait traité sans dimension spécifique aux applications Cloud. Et pour 28 % des sondés, le sujet ne fait plus l’objet que d’un « effort de sensibilisation informel ». Alors il n’est pas bien surprenant non plus que 33 % des sondés ne sachent pas comment sont protégées les données stockées dans le Cloud, ou encore que ni chiffrement ni systèmes de jetons ne soient utilisés, selon 56 % des sondés.