La sécurité du cloud computing

Le cloud computing a été désigné comme l’une des technologies et des priorités des entreprises pour 2010-2011.

Pour autant, comme toute nouvelle technologie elle ne va pas sans risque.  L’article de Global Security Mag revient sur une étude de Symantec Corp et Ponemon Institute : « Moins d’une entreprise sur dix évalue les mesures de sécurité des fournisseurs de services de cloud computing ou forme son personnel dans ce domaine ».

Selon cette enquête, la plupart des entreprises n’ont pas les procédures, règles et outils nécessaires pour garantir la sécurité permanente des informations sensibles stockées dans le « cloud ». Malgré les problèmes de sécurité et le développement attendu du cloud computing, seulement 27 % des entreprises interrogées ont mis en place des procédures de validation des applications de cloud computing utilisant des informations sensibles ou confidentielles. Force est de constater que, dans la plupart des entreprises, l’évaluation des fournisseurs de services de cloud computing n’est pas du ressort des responsables informatiques et de la sécurité qui devraient, en principe, s’en charger : 68 % des entreprises interrogées ont déclaré qu’elle incombait à des utilisateurs finaux et des directeurs d’unités métier. Seulement 20 % des sondés ont indiqué que leur équipe en charge de la sécurité de l’information était régulièrement impliquée dans le processus de prise de décision et environ un quart ont déclaré qu’elle n’y avait jamais participé. Cela dit, 69 % des sondés préféreraient voir le personnel interne en charge de la sécurité de l’information ou de l’infrastructure informatique diriger ce processus décisionnel.

Il ressort de l’enquête que les employés prennent des décisions sans avoir le point de vue de leur département informatique ou sans une parfaite maîtrise des risques de sécurité associés au cloud computing. Seulement 30% des sondés évaluent les fournisseurs avant de déployer leurs produits.

– Autres résultats de l’enquête :

· Pour évaluer des services de cloud computing, les entreprises s’appuient sur le bouche à oreille (65 %), ainsi que les dispositions contractuelles et les garanties du fournisseur (55 % et 53 %, respectivement). Seulement 23 % exigent une preuve de conformité aux normes de sécurité telles que SAS 70, 18 % s’appuient sur des évaluations de sécurité internes et seulement 6 % sur des évaluations effectuées par des experts en sécurité ou des auditeurs.

· Pour plus de 75 % des sondés, la migration vers le cloud computing s’effectue dans des conditions pour le moins insatisfaisantes, et ce pour plusieurs raisons : manque de contrôle des utilisateurs finaux, ressources insuffisantes pour procéder à des évaluations correctes, pas de supervision du processus et évaluations figurant en bas de la liste des priorités.

· Seulement 19 % des entreprises interrogées proposent une formation générale sur la sécurité des données, couvrant les applications de cloud computing. Par ailleurs, 42 % des entreprises qui proposent une formation générale sur la sécurité des données n’y abordent pas spécifiquement les applications de cloud computing.

Retrouvez la suite de l’article et les recommandations sur le site du magazine.

Retrouvez également le point de vue de Microsoft dans le livre blanc que le géant de l’informatique vient de sortir.

Publicités

Commentaires fermés

%d blogueurs aiment cette page :