Sécurité : 91 % des services Cloud présentent un risque
Publié par La rédaction le | Mis à jour le
Plus de 9 services Cloud sur 10 utilisés par les entreprises en Europe font peser des risques de sécurité moyens à élevés sur ces organisations. Une étude choc qui tombe à pic pour Thierry Breton (Atos) et Octave Klaba (OVH). Co-pilotes du Cloud à la française, ces derniers préconisent dans leur rapport la création d'un label européen «?Secure Cloud?».
À l'heure où les chefs de projet du plan Cloud français préconisent la création d'un label européen «?Secure Cloud?», une nouvelle étude de Skyhigh Networks, spécialiste américain de la sécurité des services hébergés, témoigne de la porosité des services Cloud utilisés par les entreprises en Europe. Pour cette étude, les usages de plus de 40 organisations (1 million d'utilisateurs), du secteur financier à l'industrie, ont été analysés.
Des services à hauts risques
Seuls 9% des 2 105 services Cloud étudiés disposent de capacités de sécurité de classe entreprise, les 91% restant font peser des risques moyens ou élevés sur la sécurité des organisations. Par ailleurs, seuls 5% des services Cloud proposés en Europe sont certifiés ISO/IEC 27001, la norme internationale relative aux systèmes de management de la sécurité de l'information (SMSI). Pas plus de 12% utilisent le chiffrement de données stockées et 21% l'authentification multi-facteur.
Malgré les révélations sur l'étendue de la surveillance pratiquée par la NSA américaine, les données sont stockées aux États-Unis dans 72% des cas, d'après Skyhigh. Et 25 des 30 principaux fournisseurs de Cloud sont basés dans des pays - États-Unis en tête, mais également Russie et Chine - où la législation en matière de protection des données personnelles est bien moins contraignante qu'en Europe. Ainsi, 99% des données sont stockées dans des pays où les règles de confidentialité sont moins strictes qu'en Europe et/ou n'offrent pas de capacités de sécurité de classe entreprise.
Les DSI perdent la main
Le libre accès des utilisateurs au nuage leur permet, le plus souvent, d'échapper au contrôle des DSI. Cette percée de ce qu'on appelle le « shadow IT » s'explique à la fois par une plus grande implication des métiers et par la disponibilité de multiples services en ligne. L'adoption du Cloud est large. En Europe, une entreprise utilise en moyenne 588 services Cloud (contre 626 aux États-Unis).
« Les services Cloud permettent aux entreprises d'être agiles, flexibles et efficaces, et leurs employés devraient être encouragés à les utiliser », commente Rajiv Gupta, Pdg de Skyhigh Networks. « Mais trop de collaborateurs ignorent encore les risques associés à certains services Cloud et pourraient même compromettre la politique de sécurité globale de leur organisation. »
Un label «?Secure Cloud?»
Sécurité, souveraineté. Les enjeux du Cloud Computing font l'objet de toute l'attention des pouvoirs publics et des industriels. Dans leur rapport « Cloud » consulté en début de semaine par Les Échos, Thierry Breton, président d'Atos, et Octave Klaba, dirigeant fondateur d'OVH, présentent une dizaine de propositions. Le but : accélérer l'émergence d'alternatives aux services de grands groupes américains comme Amazon, Google ou Microsoft.
L'une des mesures phares du rapport vise la création d'un label européen «? Secure Cloud?». Ce label serait attribué à tous les services en nuage, quelle que soit leur nationalité, à la condition de respecter un ensemble de règles en matière de sécurité, disponibilité et qualité de service. Et, surtout, de localisation de données dans les datacenters.
Le duo franco-allemand en éclaireur
Pour soutenir le création du label, Thierry Breton et Octave Klaba, co-pilotes du plan Cloud français cher au ministre Arnaud Montebourg, préconisent une révision de la réglementation européenne. Faute de consensus entre les 28 États membres, « le rapport conseille à la France et à l'Allemagne de prendre l'initiative réglementaire et de développer un espace que pourraient ensuite rejoindre progressivement les autres États », rapporte Les Echos.
L'idée de créer un « espace Schengen des données », que Thierry Breton et le co-Pdg de l'éditeur allemand SAP, Jim Snabe, appelaient de leurs voux dès l'été 2013, est donc relancée. Et ce malgré les craintes du World Economic Forum (WEF) concernant une potentielle balkanisation d'Internet.
Un autre volet sensible du plan français concerne les financements. Réduction des dépenses publique oblige, les rapporteurs tablent plutôt sur une réorientation des budgets. La Banque publique d'investissement pourrait notamment soutenir des projets de déploiement de datacenters sur le territoire national. Chaque centre pourrait ainsi créer «?une centaine d'emplois directs et quelques centaines d'emplois indirects?», assure le rapport Breton-Klaba.
Lire aussi
T. Breton : « La grande affaire de l'Europe, ce n'est plus la monnaie, mais la donnée »
Le Cloud de Microsoft obtient le blanc-seing des CNIL européennes