Baromètre CESIN : comment évolue la perception de la menace sur le cloud ?
Quelle vision les RSSI ont-ils de la menace cyber liée au cloud ? Des tendaces se dégagent de l’analyse des résultats du baromètre CESIN sur la période 2017-2024.
Comment évolue la protection cyber des entreprises ? Nous avons récemment dégagé quelques tendances à partir de l’analyse du baromètre annuel CESIN depuis la première vague publiée en 2016.
Des neuf années de résultats, on peut tirer d’autres indicateurs, notamment sur la perception de la menace cloud. La restitution de la vague 2 fut la première à comprendre des éléments à ce sujet. La question alors posée est restée la même depuis : « Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou fort en ce qui concerne l’utilisation du cloud ? »
Le CESIN a systématiquement fait remonter les taux de réponse pour l’option « risque fort ». Tout du long, le nombre d’items a progressivement augmenté, mais leur définition n’a pas sensiblement évolué. Nous la retenons ici telle qu’elle figure dans la dernière vague, parue en janvier 2024.
Résidence des données : des RSSI moins inquiets qu’ils ne le furent
« Stockage des données en France/Europe mais assuré et/ou opéré par des prestataires étrangers où la loi du pays d’origine s’applique également »
Près de la moitié des répondants de la vague 4 percevaient un risque fort sur cet item. Au dernier pointage, ils sont 39 %.
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 48 | 39 | 31 | 35 | 42 | 39 |
« Stockage des données dans des datacenters à l’étranger, hors du droit français »
L’évolution de la perception est similaire sur cet aspect. Les données remontent à la vague 2.
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 55 | 48 | 39 | 38 | 33 | 37 | 37 |
Le non-effacement des données préoccupe plus que leur traitement abusif
Le taux de réponses « risque fort » s’est réduit dans les mêmes proportions sur quatre éléments tournant autour de la gestion des données par les hébergeurs. On notera la courbe en V pour le non-effacement des données en fin de contrat, par opposition à la baisse quasi continue sur l’aspect confidentialité.
« Confidentialité des données vis-à-vis de l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 50 | 45 | 40 | 38 | 36 | 31 | 32 |
« Traitement et exploitation de données par l’hébergeur à l’insu de ses clients »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 36 | 36 | 38 | 22 | 26 | 27 | 23 |
« Non-effacement des données au cours de l’usage »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 55 | 51 | 40 | 27 | 28 | 36 | 33 |
« Non-effacement des données par l’hébergeur en fin de contrat alors que c’est prévu contractuellement »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 55 | 51 | 40 | 27 | 28 | 36 | 33 |
« Non-restitution des données par l’hébergeur en fin de contrat alors que c’est prévu contractuellement »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 47 | 33 | 31 | 20 | 23 | 23 | 25 |
Inquiétude persistante sur les chaînes de sous-traitance
Les niveaux d’inquiétude sont globalement plus élevés pour ce qui a trait à la « transparence » des hébergeurs. Sur la question des chaînes de sous-traitance, le taux de réponses « risque fort » est resté quasi inchangé en l’espace de six vagues.
« Non-maîtrise de la chaîne de sous-traitance de l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 52 | 50 | 51 | 48 | 51 | 48 |
« Difficulté de contrôler les accès par des administrateurs de l’hébergeur »
Dans la vague 2, cet item se confondait avec les audits.
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 57 | 52 | 45 | 45 | 43 | 49 | 43 |
« Mauvaise visibilité de l’inventaire des ressources »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 38 | 40 | 40 |
« Difficulté de mener des audits »
Même réflexion que plus haut : dans la vague 2, cet item se confondait avec les accès administrateurs.
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 57 | 48 | 46 | 41 | 36 | 40 | 36 |
Le piégeage d’applications moins redouté que les attaques par rebond
Davantage de stabilité dans les taux de réponse « risque fort » sur ce volet. Le piégeage d’applications était l’item qui inquiétait le moins dans la vague 2. Il l’est resté depuis lors, sans exception.
« Indisponibilité des données / de l’application due à une attaque de l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 30 | 29 | 31 | 28 | 25 | 32 | 33 |
« Attaque par rebond depuis l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 23 | 25 | 24 | 23 | 27 | 29 | 30 |
« Propagation systémique des attaques et erreurs humaines qui surviendraient au niveau de l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 26 | 29 | 28 | 28 | 29 | 26 | 27 |
« Piégeage d’une application hébergée »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 20 | 22 | 18 | 17 | 18 | 16 | 16 |
Inquiétudes à la hausse sur le cloisonnement
Les craintes quant aux défauts de cloisonnement entre les clients sont au plus haut dans la dernière vague du baromètre. C’est le contraire concernant les difficultés à alimenter le SIEM avec les logs du cloud.
« Défaut de cloisonnement entre les clients »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 34 | 33 | 28 | 31 | 27 | 37 |
« Non-maîtrise des paramètres de sécurité / chiffrement faible de la part de l’hébergeur »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 42 | 39 | 37 | 36 | 28 | 35 | 36 |
« Évolutions non contrôlées des principes ou paramètres de sécurité »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 21 | 24 | 33 | 28 | 32 | 30 |
« Difficulté ou impossibilité d’alimenter le SIEM avec les logs du cloud »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 28 | 34 | 34 | 31 | 32 | 27 |
Et les enjeux internes ?
On a moins de recul sur le manque d’expertise des architectes et des admins que sur la plupart des autres items. Le taux de réponses « risque fort » est comparable concernant le contrôle de l’utilisation du cloud par les salariés.
« Expertise encore trop rare, attendue de la part des architectes et des administrateurs »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 40 | 43 | 34 |
« Maîtrise difficile de l’utilisation […] par les salariés de votre entreprise »
| V2 | V4 | V5 | V6 | V7 | V8 | V9 |
| 42 | 47 | 46 | 44 | 33 | 35 | 32 |
Illustration © Macrovector – Shutterstock
