Les RSSI les regardent encore avec méfiance, et les usages sont loin d’être généralisés dans les entreprises. C’est pourquoi nous avons voulu en savoir plus, à travers un questionnaire complété en ligne par un échantillon de RSSI invités. Nous vous invitons à découvrir en avant-première les premières conclusions de cette enquête à paraître dans Mag-Securs n°36.

50% des entreprises n’utilisent que peu ou pas du tout le cloud computing

La première partie du questionnaire avait trait aux usages du cloud computing : on y interrogeait les entreprises sur leur politique de l’utilisation du cloud professionnel par les salariés. Sans surprise, et contrairement aux effets de manche des annonceurs, le cloud computing n’est pas beaucoup utilisé dans les entreprises par les salariés : elles sont 50% (25% à ne l’utiliser pas beaucoup, et 25% à ne l’utiliser pas du tout), à avoir une utilisation parcimonieuse, voire nulle, du cloud computing. Mais la réponse est partagée, et peut s’écrire sur le mode ni-ni. Si 50% ne l’utilisent que peu ou pas du tout, 42% l’utilisent un peu.

C’est ce que souligne Eric Wiatrowski, Chief Security Officer d’Orange Business Services, qui se place autant comme offreur de services par Orange que comme CSO. « Le Cloud computing commence à être vendu et utilisé, c’est un fait. Nous voyons maintenant apparaître des services dédiés avec une facturation à la consommation. Je pense que la demande croît, c’est en tous cas les retours que nous avons de nos commerciaux. ». Pour ce qui est des usages, non détaillés, on parle d’ « applications spécifiques », mais on peut lire dans le questionnaire rempli par Cédric Cartau, RSSI du CHU de Nantes (lire encadré), que le cloud computing est utilisé « pour des applications ni stratégiques ni sensibles ». Mais aucune entreprise n’a répondu qu’elle utilisait beaucoup le cloud computing. Ce résultat tempère sans nul doute les annonces parfois fracassantes des offreurs de service, qui tendraient à nous faire croire que de ne pas passer au cloud computing est parfaitement obsolète…

En fait, les RSSI y regardent à deux fois et étudient l’économie réelle du passage au cloud computing. Mieux, un RSSI de collectivité locale comme Hervé Michelland, RSSI de la métropole Nice Côte d’Azur, se montre très dubitatif sur les services de cloud computing : « Externaliser les services, ce n’est pas une finalité en soi. Premièrement, cela existe depuis quelques années déjà, et ensuite je ne suis pas sûr d’y gagner au final. Obtenir un ROI n’est pas du tout certain, et je reste dubitatif sur une telle opération. Un grand acteur informatique nous avait proposé d’externaliser notre messagerie, et nous avons refusé, car cela allait nous coûter quatre à cinq fois plus cher. Il faut bien voir que, dans notre secteur, les économies doivent être drastiques, le budget utilisateur doit être divisé par deux », martèle-t-il. Avant de conclure : « Le cloud computing coûte très cher, et je n’en vois pas la plus-value ». Fermez le ban !

Le risque de perte de données est majeur

Sur le plan des menaces, le cloud computing suscite en général la méfiance des RSSI. Plus qu’une opportunité, le cloud computing est vécu comme une source de menaces possibles pour 92% des RSSI interrogés (42% estiment que c’est une menace possible et 50% une menace certaine). Ils ne sont que 8% à considérer que ce n’est « pas vraiment » une menace possible.

Un RSSI qui tient à son anonymat précise tout de même dans le questionnaire que « la sécurisation est un élément différenciateur pour les offreurs de cloud computing. A ce titre, la prise en compte de la sécurité peut être plus importante et plus professionnelle que par les équipes internes […] ». Mais aucune entreprise ne l’envisage comme « pas du tout » une menace. Il faut y voir là l’immaturité du marché français sur les offres de cloud computing, et la résurgence de craintes anciennes sur des contrats d’externalisation qui se sont mal passés. En période de crise, on ne tient pas à confier les clefs de la maison à quelqu’un qu’on ne connaît pas, même s’il offre un visage avenant. La localisation des data centers (en France ou non) les législations applicables (USA Patriot Act aux Etats-Unis), font aussi que les RSSI y regardent à deux fois avant de confier les clefs de leur système d’information à des tiers. En la matière, les récentes annonces qui viennent de tomber sur un cloud computing « à la française » sont particulièrement d’actualité, comme l’initiative de lancer CloudWatt, opéré par Orange, Thales, et la Caisse des Dépôts, dont l’annonce succède à celle de Numergy.

Un risque identifié comme fort pour 67% des entreprises

Le risque identifié reste fort ( 25% un peu fort et 42% très fort) pour 67% des entreprises interrogées, qui craignent, selon les réponses collectées, « des problèmes de confidentialité, des pertes de données » (Cédric Cartau), « des pertes de confidentialité de données sensibles, des problèmes de non-réversibilité des prestations » (Marc Dovero, RSSI du Conseil Général  des Bouches-du Rhône, « des vols de données » (Hervé Michelland), « la perte de données personnelles, la capacité à sortir du contrat » (un responsable sécurité et compliance d’un grand groupe industriel international). « Atteinte à la confidentialité et à l’intégrité de l’information, migration de l’information dans des endroits non souhaitables, difficulté de changer de prestataire de service », nous signale à titre anonyme ce salarié d’une grande société de sécurité en France. L’atteinte aux données sensibles et les problèmes de tarification et de reversabilité des contrats sont donc évoqués comme des sources de risques prioritaires des offres de cloud computing.

(Suite de l'enquête à lire dans Mag-Securs n°36, parution du 4ème trimestre 2012, p.48)

Acheter Mag Securs 36

 

 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143649
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI