Un Cloud désormais omniprésent et ce, même si les fournisseurs de ces offres font bien peu de concessions aux RSSI. C’est en somme une des conclusions d’une enquête menée par le Cesin, un club de RSSI, auprès de ses membres. 90 % des responsables de la sécurité des systèmes d’information expliquent que certaines des données de leur entreprise sont désormais dans le Cloud, les Cloud publics pesant d’ailleurs davantage que les Cloud privés en termes de nombre d’applications concernées. Plus d’un RSSI sur deux a établi une politique spécifique de sécurité pour le Cloud ou adapté la politique générale aux spécificités de ce mode de déploiement.
Mais les marges de manœuvre des RSSI sont très limitées, du fait de la propension des fournisseurs à imposer des contrats standards. Ainsi, 58 % des dirigeants interrogés admettent que les contrats des grands fournisseurs sont quasiment gravés dans le marbre et qu’ils n’obtiennent que des modifications à la marge. 40 % des RSSI disent parvenir à négocier quelques conditions de sécurité spécifiques, mais « difficilement ».
Dans le détail, les zones de flous sont nombreuses pour les RSSI, qui voient globalement le Cloud comme un principe renforçant la dépendance des entreprises aux fournisseurs. 72 % des dirigeants remarquent par exemple que leurs prestataires Saas ne prennent pas la responsabilité globale du service, mais renvoient aux contrats AWS ou Azure quand ils s’appuient sur ces infrastructures. La principale frustration des RSSI réside toutefois probablement dans les audits de sécurité. Quelque 57 % des responsables de sécurité ne peuvent pas auditer les infrastructures Cloud de leurs fournisseurs ; ils doivent se contenter – au mieux – des rapports d’audit que publient ces sociétés. Les 43 % restants ont certes la possibilité d’effectuer des audits et tests de pénétration sur les infrastructures de leurs fournisseurs, mais ces opérations sont soumises à préavis et limitées à une fois par an au maximum.
Globalement, l’arrivée en masse du Cloud déforme l’activité des RSSI. 87 % d’entre eux expliquent que cette mutation les pousse à passer davantage de temps sur les contrats. Et 4 responsables sur 10 constatent que le Cloud a transformé leur politique de sécurité en un agglomérat de règles très diverses, issues des différents contrats.
A lire aussi :
Avant le GDPR, les salaires des RSSI flambent
Pour les RSSI, les solutions de cybersécurité ne sont pas satisfaisantes
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…