3li

La dernière étude de Ponemon réalisée auprès de 3 400 responsables informatiques révèle qu’ils se montrent plus confiants dans le suivi de l’adoption du shadow cloud computing dans les entreprises. La sécurité et la gouvernance restent toutefois à la traîne.

Pour commencer, l’étude réalisée auprès de 3 476 praticiens de l’informatique et de la sécurité informatique, commandée par le spécialiste de la sécurité numérique Gemalto, montre que la moitié des services de cloud computing et des données d’entreprise stockées dans le cloud ne sont pas contrôlés par les départements informatiques. Autrement dit, une grande partie de l’activité liée au cloud computing dans les unités opérationnelles n’est potentiellement pas approuvée ou régie.

Toutefois, l’étude montre également que les départements informatiques commencent à mieux maîtriser la situation. 54 % des personnes interrogées se disent ainsi “confiantes” dans le fait que l’entité informatique connaît l’intégralité des applications, des plates-formes ou des services d’infrastructure de cloud computing utilisés. Cela représente une hausse de 9 % par rapport à une étude similaire de 2014.

Lutte contre le shadow computing

L’étude ne détaille pas comment ni pourquoi le département informatique commence à mieux contrôler l’adoption du shadow computing. On peut supposer qu’il y a davantage de politiques en place, ainsi qu’une plus grande communication et collaboration sur les meilleures pratiques. Il se peut également que le département informatique se montre plus actif dans son rôle en pleine évolution de prestataire de services ou courtier du cloud computing pour l’entreprise, en mettant à la disposition des utilisateurs de l’entreprise des catalogues ou des annuaires de services approuvés.

Toujours est-il que le cloud computing ajoute une nouvelle dimension à la sécurité et à la gouvernance. 73 % des personnes interrogées concèdent que la gestion des réglementations relatives à la protection des données et au respect de la vie privée est plus complexe dans le cloud que sur site. Pourtant, seulement 43 % indiquent avoir défini des rôles et des responsabilités eu égard à la protection des informations sensibles dans le cloud computing. Si ce pourcentage est en hausse par rapport aux 37 % d’il y a deux ans, il est clair qu’il reste encore un long chemin à parcourir.

S’agissant d’énoncer les principales difficultés liées à la sécurité du cloud computing, 70 % des personnes interrogées trouvent “qu’il est plus difficile d’appliquer la sécurité conventionnelle des informations dans l’environnement de cloud computing” que dans leurs systèmes sur site traditionnels. Elles sont également 70 % à juger “plus difficile de contrôler directement la conformité de la sécurité du fournisseur de cloud computing”. Une majorité (53 %) cite également les difficultés à gérer l’accès des utilisateurs finaux aux données sensibles dans le cloud, contre 48 % dans l’étude précédente.

Le point à retenir est que la responsabilité de la sécurité revient à l’utilisateur final du cloud computing. C’est un domaine qui ne peut pas être externalisé. Les participants à l’étude se montrent très partagés sur la question de la responsabilité finale : 36 % estiment qu’elle incombe à l’utilisateur final, 33 % affirment que c’est au fournisseur de cloud computing d’assurer la sécurité et 31 % pensent qu’il s’agit d’une responsabilité partagée.

Néanmoins, les entreprises mettent davantage les fournisseurs de cloud computing sur la sellette. L’étude montre ainsi une hausse significative des négociations contractuelles et des revues juridiques pour évaluer les fournisseurs de cloud computing, de 51 % des personnes interrogées dans l’étude précédente à 62 % aujourd’hui.

Les auteurs du rapport de Ponemon donnent les conseils suivants pour mieux maîtriser la sécurité du cloud computing.

  • Impliquez la cellule sécurité informatique dans l’examen et l’évaluation de ses pratiques de sécurité.
  • Augmentez la visibilité sur l’utilisation des applications, des plates-formes et des infrastructures de cloud computing pour réduire le risque lié à l’informatique de l’ombre.
  • Protégez les données exposées dans le cloud computing au moyen de technologies telles que le cryptage, l’application de jetons, des solutions cryptographiques et des solutions de gestion de l’accès, telles que l’authentification multifacteur.
  • Mettez en place et communiquez des politiques sur les applications de cloud computing d’entreprise, telles que le partage de documents.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *