La sécurité des données, une question cruciale pour le Cloud
La progression du Cloud en France se poursuit même si son adoption n’est pas à la hauteur des chiffres attendus. Des réticences subsistent en particulier liées à des questions portant sur la sécurité des données et l’absence de certifications globales spécifiques au Cloud.
Dans son article du 3 novembre dernier sur ZDNet, Pierre Mangin, fait état d’un récent rapport du CIGREF (Réseau de Grandes Entreprises) selon lequel le Cloud Computing est progressivement devenu « une opportunité incontournable et un vecteur de transformation des entreprises ». Cependant le Cloud continue à générer une « part d’ombre » au centre de laquelle se trouve la donnée.
Le même rapport relève que, pour la première fois au CES 2015 (Consumer Electronic Show) de Las Vegas, la question de la « sécurité de la donnée dans le Cloud » a été mise en avant. L’association des DSI déplore : « Les éditeurs ne semblent pas encore, dans leur majorité, avoir intégré dans leurs offres les contraintes et les besoins des entreprises sur la protection de leur patrimoine numérique. »
Quelques chiffres
Pour 53% des entreprises, les applications SaaS de l’IT sont sûres. Pour 36%, la sécurité relève de la responsabilité des fournisseurs de Cloud. Pour 35%, les applications SaaS ne sont pas préalablement évaluées pour leur sécurité. Et pour 31%, ce sont les utilisateurs qui sont responsables de la sécurité. (Source Ponemon Institute, 2015).
La question de la sécurité relative au Cloud reste décisive pour l’instauration de la confiance. La difficulté étant « d’évaluer le niveau de sécurité et d’assurer la conformité à la réglementation d’une offre Cloud ».
7 points de vigilance
Toujours selon Pierre Mangin, le rapport du CIGREF note l’absence de certifications et de standards sur la sécurité, spécifiques au Cloud. D’où les 7 points de vigilance suivants à respecter :
• le chiffrement des données (à la volée ou lors du stockage)
• le chiffrement possible avec des certificats privés
• le détail des moyens de sécurité mis en œuvre par le fournisseur
• l’évaluation des risques et le plan de secours
• une authentification forte
• la conservation légale et la traçabilité de la donnée
• la possibilité d’effectuer des audits
Le CIGREF souligne qu’il convient de vérifier le niveau de sécurité du fournisseur -« ce qui demeure difficile à faire en théorie et en l’absence de réelles certifications globales spécifiques au Cloud et élaborées par des organismes indépendants – et de traduire les engagements correspondants dans le texte du contrat ».
Safe Harbor et localisation des données
La localisation des données demeure une question cruciale. La récente décision de l’Union européenne d’invalider l’accord Safe Harbor en témoigne. Motivée par les révélations sur les pratiques de surveillance américaine, cette décision revêt une importance capitale en matière de protection des données personnelles.
Une certification franco-européenne est réclamée par le club des DSI pour garantir un bon niveau de sécurité et la conformité à la législation. « Les entreprises utilisatrices pourraient aussi créer de leur propre initiative un label ou certification « utilisateur » qui ne serait octroyé qu’aux fournisseurs incluant ces clauses dans leur contrat. De telles certifications permettraient par exemple de répondre à des questions réglementaires comme la localisation des données en Europe. « Cela permettrait aussi de simplifier de nombreuses procédures et de retrouver une confiance dans le Cloud », affirme le rapport.
En attendant de telles certifications, rien n’interdit d’exiger de ses fournisseurs la mise en place de solutions de protection et de continuité pour les données issues du Cloud.
En savoir plus
Rapport du CIGREF, oct. 2015: « La réalité du Cloud dans les Grandes Entreprises »
Continew, solutions de continuité pour les données dans le Cloud