Les entreprises n’évaluent pas les mesures de sécurité des fournisseurs de services de cloud computing

Symantec et le Ponemon Institute, société d’études phare dans le […]

April 12, 2010

Symantec et le Ponemon Institute, société d’études phare dans le domaine de la gestion des informations sensibles et confidentielles, annoncent les résultats d’une enquête menée conjointement auprès d’informaticiens. Selon cette enquête, la plupart des entreprises n’ont pas les procédures, règles et outils nécessaires pour garantir la sécurité permanente des informations sensibles stockées dans le “cloud”. Malgré les problèmes de sécurité et le développement attendu du cloud computing, seulement 27 % des entreprises interrogées ont mis en place des procédures de validation des applications de cloud computing utilisant des informations sensibles ou confidentielles.

Force est de constater que, dans la plupart des entreprises, l’évaluation des fournisseurs de services de cloud computing n’est pas du ressort des responsables informatiques et de la sécurité qui devraient, en principe, s’en charger : 68 % des entreprises interrogées ont déclaré qu’elle incombait à des utilisateurs finaux et des directeurs d’unités métier. Seulement 20 % des sondés ont indiqué que leur équipe en charge de la sécurité de l’information était régulièrement impliquée dans le processus de prise de décision et environ un quart ont déclaré qu’elle n’y avait jamais participé. Cela dit, 69 % des sondés préféreraient voir le personnel interne en charge de la sécurité de l’information ou de l’infrastructure informatique diriger ce processus décisionnel.

Il ressort de l’enquête que les employés prennent des décisions sans avoir le point de vue de leur département informatique ou sans une parfaite maîtrise des risques de sécurité associés au cloud computing. Seulement 30 % des sondés évaluent les fournisseurs avant de déployer leurs produits.


Autres résultats de l’enquête :


Pour évaluer des services de cloud computing, les entreprises s’appuient sur le bouche à oreille (65 %), ainsi que les dispositions contractuelles et les garanties du fournisseur (55 % et 53 %, respectivement). Seulement 23 % exigent une preuve de conformité aux normes de sécurité telles que SAS 70, 18 % s’appuient sur des évaluations de sécurité internes et seulement 6 % sur des évaluations effectuées par des experts en sécurité ou des auditeurs.

Pour plus de 75 % des sondés, la migration vers le cloud computing s’effectue dans des conditions pour le moins insatisfaisantes, et ce pour plusieurs raisons : manque de contrôle des utilisateurs finaux, ressources insuffisantes pour procéder à des évaluations correctes, pas de supervision du processus et évaluations figurant en bas de la liste des priorités.

Seulement 19 % des entreprises interrogées proposent une formation générale sur la sécurité des données, couvrant les applications de cloud computing. Par ailleurs, 42 % des entreprises qui proposent une formation générale sur la sécurité des données n’y abordent pas spécifiquement les applications de cloud computing.


Citations
:

« Le cloud computing est très prometteur en tant qu’outil permettant de fournir de nombreux services essentiels aux entreprises, mais notre étude révèle un manque d’intérêt pour la sécurité des informations professionnelles et personnelles sensibles, d’autant plus inquiétant qu’il est partagé par de nombreuses entreprises », a déclaré M. Larry Ponemon, président et fondateur du Ponemon Institute. « Pour traiter correctement les problématiques liées à la sécurité de l’information, nous recommandons aux entreprises de mettre en place immédiatement une politique et des processus d’évaluation des fournisseurs. En outre, les fournisseurs de services de cloud computing doivent être prêts à adopter une attitude plus transparente. »

« Bien que très intéressées par les technologies de cloud computing, de nombreuses entreprises fonctionnent “à l’aveuglette” eu égard à leur sécurisation, ce qui met en danger leurs opérations commerciales, leurs données et celles de leurs clients », a déclaré Justin Somaini, responsable de la sécurité de l’information chez Symantec.

« Aujourd’hui, les entreprises doivent renforcer leur capacité de gouvernance pour gérer leurs informations et assurer leur sécurité dans les “nuages”. La fiabilité et la confiance sont les clés du succès du cloud computing. Elles n’existent que si les équipes en charge de la sécurité de l’information ont une visibilité sur le profil et les opérations de sécurité des projets de cloud computing. »


Recommandations
:

S’assurer que la politique et les procédures de sécurité mettent clairement en avant la nécessité de protéger les informations sensibles stockées dans le “cloud”. La politique doit définir les informations considérées comme sensibles et confidentielles.
Adopter une stratégie de gestion de l’information incluant des outils et des procédures pour classer les informations et évaluer les risques afin que des règles puissent être mises en place pour définir les services et applications appropriés et ceux qui ne le sont pas.

Évaluer le profil de sécurité des entreprises externes avant le partage d’informations confidentielles ou sensibles. Dans le cadre de ce processus, les responsables informatiques et/ou les experts en sécurité de l’information doivent procéder à un examen approfondi des mesures de sécurité du fournisseur.

Former le personnel avant le déploiement d’une technologie de cloud computing, en expliquant notamment comment réduire les risques de sécurité liés à la nouvelle technologie pour assurer la protection des informations sensibles et confidentielles.

L’enquête “Information Governance in the Cloud: A Study of IT Practitioners” a été menée auprès d’entreprises américaines employant entre 1000 et 25 000 personnes et ayant adopté des plates-formes de cloud computing ; 637 responsables informatiques ont été interrogés. Cette enquête a été sponsorisée par Symantec. Une copie intégrale du rapport “Flying Blind in the Cloud: The State of Information Governance” est disponible sur le site Web de Symantec.

Watch video

In the same category