vendredi 20 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Le risque de perte de données est majeur

Sur le plan des menaces, le cloud computing suscite en général la méfiance des RSSI. Plus qu’une opportunité, le cloud computing est vécu comme une source de menaces possibles pour 92 % des RSSI interrogés (42 % estiment que c’est une menace possible et 50 % une menace certaine). Ils ne sont que 8 % à considérer que ce n’est « pas vraiment » une menace possible. Un RSSI qui tient à son anonymat précise tout de même dans le questionnaire que « la sécurisation est un élément différenciateur pour les offreurs de cloud computing. A ce titre, la prise en compte de la sécurité peut être plus importante et plus professionnelle que par les équipes internes […] ». Mais aucune entreprise ne l’envisage comme « pas du tout » une menace. Il faut y voir là l’immaturité du marché français sur les offres de cloud computing, et la résurgence de craintes anciennes sur des contrats d’externalisation qui se sont mal passés. En période de crise, on ne tient pas à confier les clefs de la maison à quelqu’un qu’on ne connaît pas, même s’il offre un visage avenant. La localisation des data centers (en France ou non) les législations applicables (USA Patriot Act aux Etats-Unis), font aussi que les RSSI y regardent à deux fois avant de confier les clefs de leur système d’information à des tiers. En la matière, les récentes annonces qui viennent de tomber sur un cloud computing « à la française » sont particulièrement d’actualité, comme l’initiative de lancer CloudWatt, opéré par Orange, Thales, et la Caisse des Dépôts, dont l’annonce succède à celle de Numergy.

Un risque identifié comme fort pour 67 % des entreprises

Le risque identifié reste fort ( 25% un peu fort et 42% très fort) pour 67% des entreprises interrogées, qui craignent, selon les réponses collectées, « des problèmes de confidentialité, des pertes de données » ‘(Cédric Cartau), « des pertes de confidentialité de données sensibles, des problèmes de non-réversibilité des prestations » (Marc Dovero, RSSI du Conseil Général des Bouches-du Rhône), « des vols de données » (Hervé Michelland), « la perte de données personnelles, la capacité à sortir du contrat » (un responsable sécurité et compliance d’un grand groupe industriel international). « Atteinte à la confidentialité et à l’intégrité de l’information, migration de l’information dans des endroits non souhaitables, difficulté de changer de prestataire de service », nous signale à titre anonyme ce salarié d’une grande société de sécurité en France. L’atteinte aux données sensibles et les problèmes de tarification et de réversabilité des contrats sont donc évoqués comme des sources de risques prioritaires des offres de cloud computing

Devant l’importance des doutes qui surgissent sur le cloud computing, certaines entreprises, que nous avons interrogées ne l’ont purement et simplement pas déployé. C’est le cas notamment de HSC. Sur le cloud computing, la maturité des entreprises n’est pas encore au rendez-vous.

Des contrats scrutés à la loupe

Concernant la mise en place de mesures de sécurité spécifiques sur l’emploi du cloud computing, les avis sont on ne peut plus partagés : 50 % des sociétés ont déployé des mesures spécifiques, et 50 % n’ont rien fait, ce qui peut sembler élevé compte-tenu du caractère de menace que présente le cloud computing que nous avons évoqué ci-dessus. Mais ce chiffre est à pondérer par le relativement faible développement du cloud computing que nous avons souligné. Une entreprise dans le secteur de l’assurance dont le représentant souhaite rester anonyme témoigne : « nous appliquons les clauses de sécurité « standard » définies pour les contrats d’externalisation avec un focus sur la localisation des données ». Précaution qui peut se révéler utile. Preuve d’une évidente prudence sur le sujet, 58 % des entreprises interrogées ont travaillé avec la direction juridique ou la direction des ressources humaines pour mettre en place des mesures spécifiques sur l’utilisation du cloud computing dans les entreprises. On peut ainsi penser qu’avec l’intervention de la direction juridique, les contrats sont mieux négociés. Là encore, les contrats d’externalisation négociés lors des années passées ont laissé quelques traces, et ont envoyé des signes, pas toujours positifs. Signe évident de cette prudence, les contrats de cloud computing et d’externalisation sont scrutés à la loupe, avec l’examen attentif des clauses de réversibilité et des tarifs de prestation. C’est tout l’enjeu d’un mastère comme celui de l’ISEP (cf. formation), qui forme aussi bien aux aspects techniques que juridiques et tarifaires. Ces deux composantes ne sont en effet pas à négliger dans la négociation d’un contrat de cloud computing.

Un changement majeur, qui doit être accompagné

En ce qui concerne l’intervention des représentants du personnel et des syndicats –on peut légitimement penser que l’utilisation du cloud computing ne fait pas que des heureux parmi les salariés– le chiffre de 67 % des entreprises qui n’ont pas mis en place des mesures spécifiques sur l’utilisation du cloud computing peut étonner : le cloud computing représente, dans les entreprises, un changement majeur, qui doit être accompagné. Un autre volet de notre enquête a été consacré à l’utilisation non conforme du cloud computing par les salariés. Il s’agissait là d’étudier les pratiques des salariés en matière d’usages de plateformes de stockage privées, du type Google Docs (Google Drive) ou DropBox, à l’intérieur de leur entreprise, pour stocker des documents professionnels. La question a de quoi surprendre, mais elle se pose réellement : autant les capacités de stockage offertes par les entreprises sont modestes, autant les salariés auront la tentation d’aller sur ces plateformes pour travailler. Mais il faut l’avouer tout de suite, la question a laissé dubitatifs un certain nombre de répondants, preuve que l’usage de ces pratiques ne s’est pas encore beaucoup répandu. Pourtant, certains salariés avouent à mots couverts avoir recours à cette pratique, et ils sont de plus en plus nombreux. Mais, plus que le cloud computing, le sujet de l’usage de ces plateformes demeure quelque peu fumeux. Les entreprises ont néanmoins commencé à s’en préoccuper. 58 % des personnes interrogées ont mené une réflexion sur ce type d’usage, mais à un niveau relativement faible (« un peu »). Elles ne sont que 17 % à avoir intégré une réflexion relativement importante dans ce domaine. Mais, cumulés, les deux chiffres donnent tout de même une indication importante : 74 % des sociétés qui ont répondu ont mené une réflexion sur l’utilisation du cloud personnel à des fins professionnelles, preuve que le sujet les préoccupe. En témoigne la réflexion de Frédéric Connes, juriste chez HSC, qui souligne que : « la question est potentiellement intéressante, et c’est un élément sur lequel on peut réfléchir, mais il faut rester prudent ».

Autres Dossiers Protection des données