Le Cloud reste une boîte noire pour les RSSI

Un Cloud désormais omniprésent et ce, même si les fournisseurs de ces offres font bien peu de concessions aux RSSI. C’est en somme une des conclusions d’une enquête menée par le Cesin, un club de RSSI, auprès de ses membres. 90 % des responsables de la sécurité des systèmes d’information expliquent que certaines des données de leur entreprise sont désormais dans le Cloud, les Cloud publics pesant d’ailleurs davantage que les Cloud privés en termes de nombre d’applications concernées. Plus d’un RSSI sur deux a établi une politique spécifique de sécurité pour le Cloud ou adapté la politique générale aux spécificités de ce mode de déploiement.

Mais les marges de manœuvre des RSSI sont très limitées, du fait de la propension des fournisseurs à imposer des contrats standards. Ainsi, 58 % des dirigeants interrogés admettent que les contrats des grands fournisseurs sont quasiment gravés dans le marbre et qu’ils n’obtiennent que des modifications à la marge. 40 % des RSSI disent parvenir à négocier quelques conditions de sécurité spécifiques, mais « difficilement ».

Audits du Cloud ? Voire

Dans le détail, les zones de flous sont nombreuses pour les RSSI, qui voient globalement le Cloud comme un principe renforçant la dépendance des entreprises aux fournisseurs. 72 % des dirigeants remarquent par exemple que leurs prestataires Saas ne prennent pas la responsabilité globale du service, mais renvoient aux contrats AWS ou Azure quand ils s’appuient sur ces infrastructures. La principale frustration des RSSI réside toutefois probablement dans les audits de sécurité. Quelque 57 % des responsables de sécurité ne peuvent pas auditer les infrastructures Cloud de leurs fournisseurs ; ils doivent se contenter – au mieux – des rapports d’audit que publient ces sociétés. Les 43 % restants ont certes la possibilité d’effectuer des audits et tests de pénétration sur les infrastructures de leurs fournisseurs, mais ces opérations sont soumises à préavis et limitées à une fois par an au maximum.

La récupération des logs laisse aussi à désirer. Près d’un RSSI sur trois n’a ainsi accès à rien en la matière. Pour 43 % des dirigeants sondés, l’accès à ces données passe par une demande ponctuelle au prestataire, qui n’a pris aucun engagement dans ce sens. Seul un RSSI sur quatre récupère les logs en temps réel ou presque, via une API ou des exports automatisés. Autre problème aux yeux des praticiens de la sécurité : l’évolution rapide des solutions Cloud, qui oblige à revoir régulièrement les paramètres de sécurité et pose des problèmes de compatibilité avec le patrimoine applicatif.

Le Cloud n’est pas moins cher pour la sécurité

Globalement, l’arrivée en masse du Cloud déforme l’activité des RSSI. 87 % d’entre eux expliquent que cette mutation les pousse à passer davantage de temps sur les contrats. Et 4 responsables sur 10 constatent que le Cloud a transformé leur politique de sécurité en un agglomérat de règles très diverses, issues des différents contrats.

Malgré tous ces désagréments, les RSSI reconnaissent certains apports du Cloud, même si ceux-ci sont bien plus limités que ceux figurant dans les dépliants publicitaires des géants du Cloud. Près de 3 RSSI sur 10 reconnaissent que, avec le Cloud, le temps passé à mettre en place les solutions de sécurité est plus faible qu’avec leurs équivalentes on-premise. De même, les décideurs interrogés notent que les solutions dans le nuage facilitent la continuité d’activité ou le respect des accords sur les niveaux de service (SLA). L’argument budgétaire, souvent brandi par les tenants du Cloud, ne trouve par contre pas grâce aux yeux des RSSI. 45 % d’entre eux estiment que le Cloud entraîne un surcoût en matière de sécurité. Ils ne sont que 35 % à penser le contraire.

Pour les RSSI, les solutions de cybersécurité ne sont pas satisfaisantes