La majorité des organisations informatiques sont dans l’incertitude en ce qui concerne la protection des données professionnelles dans le cloud – ce qui met en danger leurs informations sensibles et confidentielles. C’est ce qui ressort d’une étude récente menée par Ponemon Institute à l’instigation de SafeNet, Inc., leader mondial de la protection des données. Plus de 1.800 professionnels de l’informatique et de la sécurité informatique du monde entier ont été interrogés dans le cadre de cette étude, intitulée « The Challenges of Cloud Information Governance: A Global Data Security Study ».

Bien que les organisations fassent de plus en plus de cloud computing, le personnel informatique éprouve des difficultés à gérer et sécuriser les données dans le cloud. L’étude révèle qu’à peine 38 % des organisations ont déterminé des rôles clairs et mis en place un point de contact unique pour la sécurisation des informations sensibles et confidentielles dans le cloud. En outre, il apparaît que 44 % des données professionnelles sont stockées dans un environnement cloud qui n’est pas géré par le département informatique. Et plus de deux tiers (71 %) des sondés déclarent qu’il est plus difficile de protéger des données sensibles dans le cloud avec les méthodes de sécurisation traditionnelles.

« Les résultats montrent que les organisations du monde entier éprouvent des difficultés à sécuriser leurs données dans le cloud car elles n’appliquent les mesures de gestion et de sécurisation essentielles », explique Larry Ponemon, président du comité de direction et fondateur de Ponemon Institute. « Pour créer un environnement cloud plus sûr, les organisations peuvent s’y prendre progressivement. Pensez à l’intégration de la sécurité informatique dans leurs politiques et procédures de sécurité existantes, à une meilleure vision de l’utilisation des applications, des plates-formes et de l’infrastructure cloud, ainsi qu’à la protection des données au moyen d’un cryptage et d’un contrôle d’accès plus puissants, par exemple avec une authentification à deux facteurs. »

Le Cloud grandit, les risques aussi

Tandis que la popularité du cloud s’accroît, le risque pour les données sensibles augmente également
Près des trois quarts des professionnels de l’informatique (71 %) confirment que le cloud computing est très important aujourd’hui. Et plus des trois quarts (78 %) pensent que les choses auront encore évolué d’ici deux ans. En outre, les sondés estiment que 33 % de toutes les exigences de traitement informatique et des données sont satisfaites aujourd’hui dans leur organisation avec des solutions cloud. Ils prévoient que ce pourcentage va grimper à 41 % en moyenne dans les deux prochaines années.

Toutefois, la majorité des sondés (70 %) trouvent qu’il est plus compliqué de se conformer à la réglementation en matière de vie privée et de protection des données dans un environnement cloud. Ils pensent que ce sont les données professionnelles stockées dans le cloud, comme les e-mails et les informations sur les consommateurs, les clients et les paiements, qui courent le
plus grand risque.

La sécurisation du cloud, le Shadow IT et le besoin d’un seul point de contact
En moyenne, la moitié de tous les services cloud sont installés par d’autres départements que le département informatique. En outre, 44 % des données professionnelles sont stockées dans un environnement cloud qui n’est pas géré par le département informatique. Voilà pourquoi à peine 19 % des sondés sont totalement sûrs de tout savoir sur les applications, les plates-formes et les services d’infrastructure de cloud computing actuellement utilisés dans leur organisation.

Outre ce déficit de contrôle sur l’origine des services cloud, les avis pour savoir qui est véritablement responsable de la sécurité des données cloud sont partagés. 35 % des sondés déclarent que l’utilisateur et le fournisseur du cloud sont conjointement responsables. 33 % disent que la responsabilité revient à l’utilisateur du cloud et 32 % au fournisseur.

Le cryptage et l’authentification comme alternatives

Plus des deux tiers des sondés (71 %) déclarent qu’il est plus compliqué de protéger des données sensibles dans le cloud avec des méthodes de sécurisation traditionnelles. Près de la moitié (48 %) trouve plus difficile de gérer ou limiter l’accès des utilisateurs finaux aux données dans le cloud. Plus d’un tiers (34 %) des professionnels de l’informatique sondés expliquent d’ailleurs que leur organisation a une politique qui impose l’utilisation de méthodes de sécurisation – comme le cryptage – pour utiliser des solutions de cloud computing déterminées. 71 % des sondés trouvent qu’il est important de crypter les informations sensibles ou confidentielles ou de les doter de tokens. 79 % pensent que ce sera encore plus important dans les deux prochaines années.

Que font concrètement les entreprises pour sécuriser leurs données dans le cloud ? 43 % des sondés utilisent leurs propres réseaux privés dans leur organisation. Près des deux cinquièmes (39 %) recourent au cryptage, à des tokens ou d’autres méthodes cryptographiques pour protéger leurs données dans le cloud. 33 % ne savent pas quelles solutions de sécurité sont utilisées. Et 29 % utilisent les services de sécurité premium proposés par leur fournisseur de cloud.

Les sondés déclarent également que la gestion des clés de cryptage est importante pour sécuriser des données dans le cloud vu le nombre croissant de plates-formes de cryptage et de gestion des clés que leur entreprise utilise. 54 % des sondés gèrent les clés lorsque des données sont stockées dans le cloud. 45 % conservent toutefois les clés dans le logiciel où ils sauvegardent leurs données. 27 % déclarent conserver les clés dans des environnements plus sûrs, comme du hardware.

En ce qui concerne l’accès aux données dans le cloud, 68 % des sondés trouvent la gestion des utilisateurs plus compliquée dans le cloud. Dans 62 % des cas, des tiers ont en outre accès au cloud. Près de la moitié (46 %) utilise au sein de l’entreprise une authentification à deux facteurs afin de sécuriser l’accès de tiers aux données dans le cloud. 48 % utilisent cette forme d’authentification pour l’accès des collaborateurs au cloud.

« Le cloud a été une révolution pour l’informatique. Toutefois, un grand nombre d’organisations informatiques trouvent qu’il est difficile de se conformer aux exigences liées à ces services compte tenu des conséquences pour la sécurisation de la sauvegarde de données critiques dans le cloud », explique Tsion Gonen, chief strategy officer chez SafeNet (en photo). « Comme le démontre le nombre record de violations de données en 2014, les organisations sont souvent attaquées sous différents angles. Afin de limiter les risques, une coordination ciblée et de nouvelles approches de la sécurisation des données dans le cloud sont nécessaires. Il va sans dire que l’informatique doit être au cœur de cette migration. »

Les principales recommandations pour la sécurisation des données dans le cloud

• Le rôle des organisations informatiques évolue et elles doivent s’adapter à la nouvelle réalité de l’informatique dans le cloud. Elles peuvent y parvenir en informant leurs collaborateurs sur la sécurité, en mettant sur pied des politiques complètes de gestion et de conformité des données, en créant des règles pour l’achat de services cloud et en déterminant quelles données peuvent être stockées ou non dans le cloud.
• Les organisations informatiques peuvent arriver à protéger leurs données professionnelles tout en permettant le Shadow IT et en implémentant des solutions de sécurisation des données comme l’ « Encryption-as-a-Service ».
• Les entreprises sauvegardent de plus en plus de données dans le cloud et utilisent de plus en plus de services cloud pour leurs collaborateurs. Les organisations informatiques doivent mettre donc plus l’accent sur un contrôle renforcé de l’accès des utilisateurs au moyen d’une authentification robuste. C’est encore plus important pour les entreprises qui permettent à des tiers et des fournisseurs d’accéder à leurs données dans le cloud. Les solutions d’authentification à deux facteurs doivent être gérées de façon centralisée. L’organisation assure ainsi un accès plus sûr à toutes les applications et données, qu’elles se trouvent dans le cloud ou sur site.

[button color=”black” link=”http://www2.safenet-inc.com/cloud-security-research/SafeNet-Cloud-Governance.pdf”]Lire le rapport complet[/button]