[EXCLUSIF] Le Cloud héberge aujourd’hui 81 % des données mondiales. D’ici 2020, cette statistique devrait atteindre les 92 %[1]. Son marché, évalué l’an passé à 8,5 milliards d’euros pour une croissance de 27 %, est des plus prometteurs[2]. Son accessibilité sous différents modes : SaaS (Software as a Service), PaaS (Platform as a Service) ou IaaS (Infrastructure as a Service) en facilite l’adoption. Cependant le Cloud, victime de son succès, inquiète également. La multiplication des plateformes implique de maintenir une cyber surveillance absolue.
Alors que le taux d’adoption du Cloud est en pleine croissance, les DSI et les RSSI font état de craintes liées à sa sécurité. Ils estiment ne pas disposer d’outils permettant d’obtenir une réelle visibilité de ces environnements ou de moyens de contrôler les données qui y sont hébergées. L’enjeu de la sécurité inhérente au Cloud se situe à un double niveau : la protection de l’environnement en lui-même et son usage même par les collaborateurs de l’entreprise. 73 % des responsables informatiques européens admettent ne pas avoir de visibilité ni de contrôle sur les applications Cloud utilisées par les employés et 16 % estiment en contrôler à peine la moitié[3].
Pour un usage efficace du Cloud, il convient donc de faire preuve de plus de transparence au sein de l’entreprise, notamment entre les collaborateurs et le service informatique. La sécurité de l’entreprise repose effectivement sur l’Humain. Le social engineering l’illustre bien : l’efficacité de la protection du système ne sert à rien si l’employé est vulnérable. A travers cette pratique, le hacker parvient à obtenir les informations qu’il souhaite, sans que la victime ait conscience d’avoir été manipulée. Afin d’endiguer ce phénomène, les employés doivent être formés à des méthodes de protection simples pour acquérir de bons réflexes sécuritaires.
Le contexte règlementaire bouleverse les lignes en matière de sécurité
La sécurité du Cloud implique des concepts tels que la sécurité des réseaux, du matériel ainsi que les stratégies de contrôle déployées afin de protéger les données, les applications et l’infrastructure associée. Cette année, les hébergeurs et fournisseurs de Cloud vont devoir se conformer à de nouvelles obligations. Le Règlement Général pour la Protection des Données (RGPD) leur impose, entre autres, de mettre en œuvre toutes les dispositions nécessaires à la sécurisation des données personnelles. Jusqu’ici, leur activité était régie par la loi Informatique & Libertés. Dans ce cadre, seul le responsable de traitement des données était tenu de prendre toutes les mesures sécuritaires nécessaires. Avec le RGPD, les sous-traitants sont désormais tenus de mettre également en œuvre les dispositifs de sécurité adéquats. De plus, la directive européenne NIS, portant sur la sécurité de l’information et des réseaux, oblige les fournisseurs de services Cloud, exerçant en Europe, à prendre des mesures complémentaires. Ces dernières portent sur la protection de leur infrastructure afin d’être ainsi capables de signaler tout incident majeur détecté aux autorités nationales de référence, l’ANSSI en France. Ces lois entreront en vigueur en mai prochain.
Face à la croissance du Cloud, les institutions ont pris la mesure de l’importance d’instaurer un cadre règlementaire afin d’assurer la protection des données qu’ils véhiculent, ainsi que des infrastructures associées. Le choix du Cloud garantit aux entreprises de bénéficier d’une solution d’hébergement régie par un cadre règlementaire. Avec les dernières mesures adoptées, l’ensemble des maillons de la chaine de valeur du Cloud est contraint de renforcer son dispositif de sécurité. Sans ce cadre imposé, un renforcement massif de la sécurité du Cloud n’aurait pu être opéré.
[1] Source : https://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html
[2] Source : Markess
[3] Source : LastPass par Ovum