Etats Généraux du Cloud : les RSSI poussent les sujets de la confiance et de la sécurité

Les Etats Généraux du Cloud qui ont eu lieu le 5 juillet dans le cadre de la Cloud Week Paris Région, ont mis cette année en avant une série d’ateliers consacrées à la sécurité et à la confiance. Le Cesin (Club des experts de la sécurité des systèmes d’information et du numérique), très impliqué dans l’initiative, a dévoilé à cette occasion son dernier baromètre sur les enjeux cloud des RSSI.

Diner cybersécurité Alain Bouillé

Alain Bouillé – président du Cesin et RSSI de la Caisse des Dépôts

Les RSSI des grands groupes français, réunis au sein du Cesin, ont porté une vision d’utilisateurs pragmatiques à l’occasion des Etats Généraux du Cloud du 5 juillet. Quatre tables rondes ont permis d’aborder à cette occasion les sujets critiques de la réversibilité, du RGPD, des coûts cachés et de la contractualisation du cloud, mais également la question plus globale des enjeux actuels de sécurité. Alain Bouillé, président du Cesin et RSSI de la Caisse des Dépôts, qui animait cette dernière table ronde, est convaincu de la pertinence des messages portés : « Notre participation à la Cloud Week et spécialement aux Etats Généraux du Cloud, nous a permis de rééquilibrer un discours et une vision parfois trop enthousiastes vis-à-vis des solutions cloud en faisant entendre la voix de la sécurité afin, en particulier pour le cloud public, de revenir à la réalité concrète du terrain sans bruit de fond marketing. Le cloud public présente de nombreux avantages, mais il comporte des inconvénients pour la sécurité des données qu’il faut mieux évaluer avec une analyse de risques formelle avant de signer les contrats ».

A l’occasion de la rencontre, un sondage mené auprès de 91 RSSI a permis de dégager quelques tendances et préoccupations fortes, complémentaires de celles des DSI qui ont profité de la journée pour partager eux-aussi sur leurs expériences.

Le cloud est partout mais les politiques de sécurité peinent à s’adapter

GUIDE RSSI DE DEMAIN Ainsi 90% des membres du Cesin soulignent qu’un certain nombre des données de leur entreprise est de toute façon stockée dans le cloud, mais seul un quart ont pu mettre en place une politique de sécurité spécifique pour le Cloud. En effet, 27% ont préféré adapter leur politique de sécurité (PSSI) existante pour prendre en compte les nouveaux enjeux. Reste donc qu’un peu moins de la moitié des entreprises n’ont pas du tout fait évoluer leur vision malgré l’omniprésence du cloud dans les organisations. Il en va de même pour les plans de continuité d’activités qui n’ont pas été révisés dans les mêmes proportions.

En parallèle, les RSSI soulignent la difficulté de leurs entreprises à négocier des conditions de sécurité satisfaisante dans les contrats cloud – la plupart des « grands » contrats n’étant que très marginalement modifiables. Seuls 22,5% sont donc confiants dans leur capacité à obtenir des niveaux de sécurité qui leur conviennent. Par ailleurs, ils soulignent la difficulté à accéder aux PSSI des fournisseurs, et à être tenus au courant de leurs évolutions. Une préoccupation qui explique en partie le fait que 21% seulement acceptent que leurs fournisseurs cloud utilisent leurs données – même anonymisées et agrégées.
De manière générale, les RSSI jugent d’ailleurs à plus de 87% que la « part contractuelle » de leur travail a sensiblement augmenté.

Les relations avec l’écosystème s’avère être de faut un autre point d’attention majeur : plus de 70% des RSSI interrogés par le Cesin précisent en effet que leurs prestataires ont l’habitude de renvoyer une grande partie des responsabilités aux contrats types qui cadrent les grandes infrastructures cloud qu’ils utilisent, comme AWS ou Azure.

Enfin, et sans surprise, 58% des RSSI interrogés estiment que leurs solutions sont encore très loin d’une conformité satisfaisante du point de vue du RGPD. Le règlement entrant en application le 25 mai prochain, il sera sans nul doute l’une des questions centrales traitées lors de l’édition 2018 des Etats Généraux du Cloud.

> A lire également  :