Selon cette enquête, la plupart des entreprises n’ont pas
les procédures, règles et outils nécessaires pour garantir la sécurité permanente des informations sensibles
stockées dans le "cloud". Malgré les problèmes de sécurité et le développement attendu du cloud computing,

seulement 27 % des entreprises interrogées ont mis en place des procédures de validation des applications de
cloud computing utilisant des informations sensibles ou confidentielles.
Force est de constater que, dans la plupart des entreprises, l’évaluation des fournisseurs de services de cloud
computing n’est pas du ressort des responsables informatiques et de la sécurité qui devraient, en principe, s’en
charger : 68 % des entreprises interrogées ont déclaré qu’elle incombait à des utilisateurs finaux et des
directeurs d’unités métier. Seulement 20 % des sondés ont indiqué que leur équipe en charge de la sécurité de
l’information était régulièrement impliquée dans le processus de prise de décision et environ un quart ont
déclaré qu’elle n’y avait jamais participé. Cela dit, 69 % des sondés préféreraient voir le personnel interne en
charge de la sécurité de l’information ou de l’infrastructure informatique diriger ce processus décisionnel.

Il ressort de l’enquête que les employés prennent des décisions sans avoir le point de vue de leur département
informatique ou sans une parfaite maîtrise des risques de sécurité associés au cloud computing. Seulement 30% des sondés évaluent les fournisseurs avant de déployer leurs produits.

– Autres résultats de l’enquête :

· Pour évaluer des services de cloud computing, les entreprises s’appuient sur le bouche à oreille
(65 %), ainsi que les dispositions contractuelles et les garanties du fournisseur (55 % et 53 %,
respectivement). Seulement 23 % exigent une preuve de conformité aux normes de sécurité telles que
SAS 70, 18 % s’appuient sur des évaluations de sécurité internes et seulement 6 % sur des évaluations
effectuées par des experts en sécurité ou des auditeurs.

· Pour plus de 75 % des sondés, la migration vers le cloud computing s’effectue dans des conditions
pour le moins insatisfaisantes, et ce pour plusieurs raisons : manque de contrôle des utilisateurs
finaux, ressources insuffisantes pour procéder à des évaluations correctes, pas de supervision du
processus et évaluations figurant en bas de la liste des priorités.

· Seulement 19 % des entreprises interrogées proposent une formation générale sur la sécurité des
données, couvrant les applications de cloud computing. Par ailleurs, 42 % des entreprises qui
proposent une formation générale sur la sécurité des données n’y abordent pas spécifiquement les
applications de cloud computing.

« Le cloud computing est très prometteur en tant qu’outil permettant de fournir de nombreux services essentiels
aux entreprises, mais notre étude révèle un manque d’intérêt pour la sécurité des informations professionnelles
et personnelles sensibles, d’autant plus inquiétant qu’il est partagé par de nombreuses entreprises », a déclaré
M. Larry Ponemon, président et fondateur du Ponemon Institute. « Pour traiter correctement les
problématiques liées à la sécurité de l’information, nous recommandons aux entreprises de mettre en place
immédiatement une politique et des processus d’évaluation des fournisseurs. En outre, les fournisseurs de
services de cloud computing doivent être prêts à adopter une attitude plus transparente. »

« Bien que très intéressées par les technologies de cloud computing, de nombreuses entreprises fonctionnent "à
l’aveuglette" eu égard à leur sécurisation, ce qui met en danger leurs opérations commerciales, leurs données et
celles de leurs clients », a déclaré Justin Somaini, responsable de la sécurité de l’information chez Symantec.
« Aujourd’hui, les entreprises doivent renforcer leur capacité de gouvernance pour gérer leurs informations et
assurer leur sécurité dans les "nuages". La fiabilité et la confiance sont les clés du succès du cloud computing.

Elles n’existent que si les équipes en charge de la sécurité de l’information ont une visibilité sur le profil et les
opérations de sécurité des projets de cloud computing. »

Recommandations :

· S’assurer que la politique et les procédures de sécurité mettent clairement en avant la nécessité de
protéger les informations sensibles stockées dans le "cloud". La politique doit définir les informations
considérées comme sensibles et confidentielles.

· Adopter une stratégie de gestion de l’information incluant des outils et des procédures pour classer les
informations et évaluer les risques afin que des règles puissent être mises en place pour définir les
services et applications appropriés et ceux qui ne le sont pas.

· Évaluer le profil de sécurité des entreprises externes avant le partage d’informations confidentielles ou
sensibles. Dans le cadre de ce processus, les responsables informatiques et/ou les experts en sécurité
de l’information doivent procéder à un examen approfondi des mesures de sécurité du fournisseur.

· Former le personnel avant le déploiement d’une technologie de cloud computing, en expliquant
notamment comment réduire les risques de sécurité liés à la nouvelle technologie pour assurer la
protection des informations sensibles et confidentielles.

L’enquête "Information Governance in the Cloud : A Study of IT Practitioners" a été menée auprès d’entreprises
américaines employant entre 1000 et 25 000 personnes et ayant adopté des plates-formes de cloud computing ;
637 responsables informatiques ont été interrogés. Cette enquête a été sponsorisée par Symantec. Une copie
intégrale du rapport "Flying Blind in the Cloud : The State of Information Governance" est disponible sur le site
Web de Symantec.