Qui est responsable de la sécurité du cloud maintenant?

L'utilisation de services cloud dans de nombreuses circonstances gagne en prise en charge de gestion. Cependant, cette attitude optimiste fait défaut dans les services informatiques. Le rapport Ponemon sponsorisé par Lumension 2014 State of Endpoint Risk suggère que l'utilisation du cloud computing, qu'elle soit soutenue par l'entreprise ou dirigée par les employés, a accru l'angoisse parmi les répondants au sondage - 19 001 informaticiens aux États-Unis. La diapositive ci-dessous montre que 44% des répondants (augmentation de 16% de 2012 à 2013) ont identifié l'utilisation des ressources de cloud computing comme une préoccupation majeure. Le personnel informatique a cité de nombreuses préoccupations concernant le cloud computing.

Source: Rapport sur les risques liés aux points finaux 2014

Qui est responsable des données dans le cloud?

Le rapport Ponemon reflétait une grande partie de ce que les experts en sécurité ont dit au cours des dernières années. Ce qui m'intéresse, c'est qui est responsable? Qui est à blâmer si quelque chose arrive aux données de l'entreprise lorsqu'elles sont dans le cloud? On pourrait s'attendre à toutes sortes de mentions à ce sujet, mais il n'y en a pas. Des discussions mineures sur la responsabilité ont commencé il y a deux ou trois ans. Cependant, «attention aux acheteurs» était la seule véritable conclusion tirée.

Avec l'inquiétude croissante du personnel informatique, il pourrait être judicieux de voir si quelque chose a changé au sein du service responsable. En 2012, j'ai interviewé plusieurs cadres supérieurs de niveau C. Au cours des entretiens, j'ai demandé qui, selon eux, était responsable de la sécurisation des données d'entreprise résidentes dans le cloud. Chaque dirigeant pensait que la sécurité des données n'était plus sa préoccupation une fois que les données étaient sur les serveurs de quelqu'un d'autre.

L'article de Businessweek 2012 Qui est responsable de la protection des données dans le cloud? par Sarah Frier a affirmé mon sondage non scientifique. Dans l'article, Frier a cité Mario Santana de Verizon Communication, qui a déclaré: "Certaines entreprises supposent à tort qu'une fois qu'elles choisissent de stocker des données sur des serveurs extérieurs, elles n'ont plus à se soucier de la sauvegarde de ces informations."

Sur la base des résultats de Ponemon et Businessweek, la déconnexion entre les cadres de niveau C et les services informatiques en 2012 est devenue évidente. Deux ans plus tard, ce que les chefs d'entreprise et les informaticiens disent à propos de la sécurité et qui est responsable des données de l'entreprise confiées à un fournisseur de services cloud a changé.

Qu'est-ce qui est différent en 2014?

En avril 2014, le Ponemon Institute a publié sa troisième étude annuelle sur les tendances du chiffrement dans le cloud parrainée par Thales e-Security. L'enquête de Ponemon a interrogé 4 275 responsables commerciaux et informatiques aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Australie, au Japon, au Brésil et en Russie. L'objectif principal de l'enquête était d'examiner comment les organisations protègent leurs données lorsqu'elles sont transmises à des fournisseurs de services cloud.

Les chercheurs de Ponemon ont posé aux participants deux questions importantes pour cette discussion:

• Quel pourcentage d'organisations transfère des données sensibles ou confidentielles vers des services cloud externes?
• Qui est le plus responsable de la protection des données sensibles ou confidentielles transférées à un fournisseur de services cloud?

Tout d'abord, examinons le pourcentage d'organisations qui envoient des données sensibles et confidentielles aux fournisseurs de services cloud. La diapositive ci-dessous montre que pour l'année d'enquête 2013, 53% des personnes interrogées ont transféré des données sensibles vers le cloud, 36% le feront dans les deux ans et 11% n'utilisaient pas de fournisseurs de services cloud. Ce qui est intéressant, c'est que les résultats des trois dernières années sont restés similaires.

Source: Tendances du chiffrement dans le cloud

Ensuite, pour l'année d'enquête 2013, qui était le plus responsable de la protection des données sensibles ou confidentielles transférées à un fournisseur de services cloud? Ça dépend. Les participants au sondage ont déclaré que la responsabilité dépend du type de service cloud fourni - SaaS ou IaaS / PaaS. La diapositive ci-dessous illustre les opinions des répondants sur qui était responsable lorsqu'une entreprise utilisait un environnement SaaS. En 2013, 54% considéraient le fournisseur de cloud comme responsable de la sécurité et 24% considéraient les utilisateurs des services de cloud comme responsables, tandis que 19% estimaient que la responsabilité devrait être partagée. (En savoir plus sur le choix entre IaaS et PaaS: ce que vous devez savoir.)

Source: Tendances du chiffrement dans le cloud

La diapositive suivante présente l'opinion du répondant sur qui était responsable lorsqu'une entreprise utilise un environnement IaaS / PaaS. En 2013, 47% considéraient la sécurité comme une responsabilité partagée, 26% considéraient que les utilisateurs de services cloud étaient responsables, et 22% estimaient qu'il s'agissait d'une responsabilité de fournisseur de services cloud.

Source: Tendances du chiffrement dans le cloud

En bout de ligne? Les choses ont changé. Il semble que l'attitude de «l'acheteur se méfie» a mûri avec les produits de services cloud. Mais comme un avocat averti d'Internet me l'a dit, les responsabilités sont déterminées par les contrats, ni plus ni moins. C'est quelque chose que tous ceux impliqués dans les services cloud doivent garder à l'esprit.