Sécurité du cloud : mais où est passée la transparence ?

Le cabinet Gartner jette un pavé dans la marre avec sa dernière étude sur le cloud computing. Il constate que les mesures de sécurité s'avèrent insuffisantes, notamment sur les contrats de SaaS dont les termes restent ambigus.

Le Gartner pointe : le maintien de la confidentialité des données, l'intégrité de ces données, la reprise après incident. Bref, tout ce qui est présenté par les prestataires comme des garanties pour les utilisateurs.  Cela conduit à l'insatisfaction de ces utilisateurs de  solutions cloud, note le cabinet d'études et rend plus difficile pour les fournisseurs la défense  de leurs positions face aux régulateurs et aux auditeurs.

Pour le Gartner, 80% des clients du SaaS resteront insatisfaits du fait de la langue dans laquelle est rédigé le contrat et des protections qu'il contient concernant la sécurité. « Nous continuons à voir de la frustration chez les utilisateurs de services de cloud computing sur la forme et le degré de transparence qu'il sont en mesure d'obtenir des fournisseurs de services potentiels et actuels » analyse Alexa Bona du Gartner.

Permettre un audit annuel de sécurité

Au minimum, les utilisateurs doivent veiller à ce que les contrats SaaS permettent un audit annuel de sécurité et de certification par une tierce partie, en incluant une clause de résiliation de l'accord en cas de violation de la sécurité, si par exemple le fournisseur est défaillant dans l'application d'une mesure de sécurité. Il est raisonnable pour un client de demander à son fournisseur de répondre aux conclusions d'une évaluation. Plus les acheteurs seront exigeants et plus la pratique des évaluations se développera  de différentes manières : réponses à un questionnaire, examen des rapports d'audit de tiers, vérification sur place, surveillance du fournisseur de services de cloud .

Les utilisateurs ne doivent pas présumer que les contrats SaaS incluent des niveaux de service adéquats pour la sécurité et la récupération. Les clients attendent que leurs données soient protégées contre les attaques ou pour être restaurée en cas d'incident et doivent s'assurer que les fournisseurs sont tenus par contrat de respecter ces attentes. « Nous recommandons que les contrats incluent aussi le temps de récupération et les objectifs de restauration ou de récupération de l'intégrité des données, avec des pénalités significatives », note Alexa Bona.

Les fournisseurs s'engagent le moins possible

Il n'existe pas de consensus sur la manière dont les services de sécurité doivent être décrits par contrat, la plupart des fournisseurs de services SaaS choisissent de s'engager le moins possible. Il est pourtant essentiel que certains services comme la protection contre l'accès non autorisé par des tiers, la certification annuelle en sécurité, les tests de vulnérabilité réguliers soient mentionnés par écrit.

L'absence de compensation financière significative,  en cas de défaillance de sécurité est également une forme indésirable d'exposition au risque dans les contrats SaaS. « Le SaaS est un cas unique où la défaillance du prestataire peut avoir un impact sur des milliers de clients en même temps » observe Mme Bona. Par conséquent, la majorité des fournisseurs de cloud évitent les obligations contractuelles pour toute forme de compensation financière ou pour des pénalités. Les utilisateurs devraient négocier des compensations pour 24 à 36 mois et pas seulement sur 12 mois. 

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

2024, l'année de Windows 11

2024, l'année de Windows 11

Si le parc de PC dans les entreprises françaises fonctionne encore majoritairement sous Windows 10, Microsoft a toutefois fixé la fin de son support le 14 octobre 2025....

Publicité