Les entreprises exigent plus de transparence pour une meilleure sécurité du cloud

Il reste néanmoins un sujet d’achoppement qu’il revient aux fournisseurs de cloud de régler de manière proactive : le manque de transparence.

Selon un rapport d’IDG Enterprise concernant le cloud, les fournisseurs de ce type de services qui insistent sur le fait de devoir traiter leur architecture, leurs processus et leur gamme de technologies dans une sorte de « boîte noire » seront perdants sur le long terme. Même si 75% des responsables IT disent aujourd'hui qu'ils sont confiants dans le niveau de sécurité des informations stockées dans le cloud, 60% de ces mêmes responsables avouent qu'ils ne peuvent cependant pas adhérer à 100%  avec les déploiements cloud tant que les fournisseurs ne leur donneront pas accès à des informations concernant la sécurité.

Cela prouve que de nos jours, les freins à l’adoption du cloud ne sont pas tant liés à des questions des sécurité qu’à des questions de confiance entre les fournisseurs de solution cloud et les utilisateurs.

« On peut dire que les principaux obstacles à l'adoption du cloud computing viennent d'un manque de confiance qui est la conséquence d’une trop grande opacité des niveaux de Service Level Agreements (SLA : accords de niveau de service), des politiques de sécurité ou de confidentialité, des termes et conditions standards et parfois même à cause de l'immaturité des services cloud », fait valoir Daniele Catteddu, Directeur Général de la Cloud Security Alliance pour l'Europe, le Moyen-Orient et l’Afrique.

La transparence des fournisseurs de services de cloud dans leur approche de la sécurité des informations est essentielle pour créer de la confiance en leurs services.

Pour l’heure, 61 % de l'environnement informatique total reste « non-cloud » et seulement 15 % des actifs informatiques utilisent le cloud public, selon le rapport d'IDG. De toute évidence, il y a encore une marge de progression importante pour augmenter l’adoption des architectures cloud. Selon l'enquête, 63 % des entreprises déclarent que le cloud améliore l'agilité informatique, 58 % disent qu'il facilite l'accès aux données et aux applications critiques et 61 % pensent qu'il est favorable à l'innovation.

Daniele Catteddu soutient qu’en plus des normes et standards tiers tels que l’ISO 27001 et le SOC2, des paramètres de sécurité spécifiques dans les accords de niveau de service de sécurité dans le cloud (les secSLAs) peuvent largement contribuer à améliorer à la fois la visibilité et la confiance des utilisateurs vis-à-vis des fournisseurs de services cloud.

« Malheureusement, le manque manifeste de normes SLA réellement pertinentes pour la sécurité du cloud est un obstacle à l’adoption de celui-ci », dit-il. « Les avantages liés à la spécification de critères de sécurité normalisés dans les SLA cloud sont évidents, puisque l'utilisation de secSLA semble être l’élément clé qui fait encore défaut pour assurer la garantie de sécurité et de transparence dont ont besoin les utilisateurs du cloud. »

Il explique aussi que la Cloud Security Alliance collabore actuellement sur la mise en place d’une norme ISO/CEI avec des groupes d’experts au sein de comités techniques. Les entreprises autant que les fournisseurs devront surveiller de près l’avancement de ce projet dans le courant de l’année prochaine.