Natalia Merzlyakova - Fotolia
L’adoption du Cloud continue de progresser, toujours largement sans la DSI
Le nombre de services Cloud utilisés dans les entreprises a quasiment doublé en deux ans. Mais si les DSI se montrent de plus en plus confiants à l’égard de ces services, leur adoption continue de se faire très largement dans leur dos.
L’édition de début 2016 du rapport de Skyhigh Networks sur l’adoption et le risque des services Cloud en Europe montre clairement une adoption toujours croissante des services Cloud dans les entreprises. Basé sur le sondage des clients européens de ce fournisseur de services de sécurité pour le Cloud – une quarantaine –, cette étude fait ressortir une moyenne de 1038 services Cloud en entreprise en moyenne au dernier trimestre 2015, contre 588 au premier trimestre 2014.
Nigel Hawthorn, directeur marketing EMEA de Skyhigh Networks, relève que l’Europe rattrape là son retard sur les Etats-Unis, avec des chiffres aujourd’hui « très proches ». Les services de travail collaboratif, comme WebEx ou Evernote, viennent en première position, suivis des plateformes telles qu’AWS, ou encore des applications spécifiques à certaines fonctions de l’entreprise. Si des Box et autres Dropbox cristallisent généralement les débats, ils n’arrivent en fait qu’en quatrième position : « ce ne sont pas les plus utilisés, même si ce sont les plus connus ».
Et d’évoquer Nigel Hawthorn d’évoquer au passage des outils tels que des convertisseurs de documents au format PDF. Et là, « quand on y pense, que fait on ? On fait sortir de l’entreprise un document susceptible de contenir des données confidentielles ». Le collaborateur le fait en toute innocence, souhaitant simplement faire son travail, et estimant probablement qu’il est plus sûr de transmettre un PDF à son correspondant, qu’un document Word…
Une DSI toujours aveugle
Et tout cela majoritairement dans l’ignorance la plus complète de la DSI. Selon Nigel Hawthorn, environ 5 % des services Cloud utilisés sont connus de la division informatique de l’entreprise. Le reste… relève du « shadow IT » : « si les responsables que l’on rencontre ont le courage de fournir de fournir une estimation, elle oscille généralement entre 0 et 200. Après deux semaines d’étude, on revient avec un tout autre chiffre. Le plus haut que j’ai vu, c’était 3 000, dans un secteur d’activité très réglementé. Mais ce n’était pas une vraie surprise, car il s’agissait d’une très grande organisation ».
Dès lors, s’il est impossible pour lui d’empêcher l’utilisation des services cloud, « le mieux que l’on puisse faire, c’est de rapidement identifier des services que l’on peut recommander ». Mais qui prend cette peine et, surtout, met régulièrement à jour ses recommandation ? « Je l’estimerais à moins de 5 % des entreprises ». Il faut dire que la tâche n’est pas simple et n’incombe pas uniquement à la DSI : le juridique, la conformité réglementaire, les métiers sont susceptibles d’être concernés.
La Cloud Security Alliance (CSA) estime que 71,2 % des entreprises disposent d’un processus formel d’approbation des services cloud. Mais 65,5 % d’entre elles ne le respectent que partiellement. Et l’on est tenté de les comprendre : car avec plus de dix requêtes en évaluation par mois, un RSSI met plus de deux semaines en moyenne à répondre à une demande des métiers. « C’est un processus chronophage », résume Nigel Hawthorn. De quoi en tout cas rendre attractifs des registres comme celui que propose justement Skyhigh Networks.
Passerelles Cloud sécurisées ? Un marché naissant
Et malgré tout, la confiance semble bien là. Selon la CSA près de 65 % des responsables IT estiment que le Cloud est au moins aussi sûr que leur infrastructure interne. A l’échelle des adhérents de l’association, c’est la CRM arrive en tête des usages – « mais les outils marketing sont également très utilisés, notamment parce qu’il a été traditionnellement difficile pour l’IT de développer ces systèmes en interne ».
Mais le marché des brokers d’accès Cloud sécurisé (CASB) bien que très dynamique, n’y est en fait pas pour grand chose : il reste une niche. « Moins de 5 % des entreprises l’utilisent pour l’instant, selon Gartner », reconnaît Nigel Hawthorn, soulignant que le marché est encore « jeune ». Les clients sont donc généralement soit « des grandes multinationales, soit des entreprises qui ont fortement investi en propriété intellectuelle, ou qui traitent d’importantes quantités de données de consommateurs ».
Mais les considérations légales autour de la protection des données et de leur exportation jouent aussi en faveur de ces CASB qui proposent de chiffrer les données de bout en bout, avec une granularité élevée, en s’appuyant sur des clés détenues par l’entreprise cliente, à l’instar de Ciphercloud ou du jeune français Difenso : les données n’apparaissent en clair que sur le poste de travail de l’utilisateur et leur lieu de stockage importe alors finalement assez peu.
Mais l’invalidation du Safe Harbor à l’automne dernier n’a pas été sans conséquences pour le marché : « il y a 6 mois, seulement 14 % des prestataires de services Cloud que l’on suit stockaient leurs données en Europe. Ce chiffre s’élève désormais à 27 % », relève ainsi Nigel Hawthorn.