Vers un cloud de confiance plus auditable et plus transparent, pour une sécurité renforcée

Comment repenser le modèle de l'audit pour renforcer la confiance entre clients et fournisseurs cloud et, par la même occasion, la sécurité ?

Face aux enjeux liés à la sécurité des données, le choix d’un fournisseur technologique n’est plus anodin : il repose sur des critères rigoureux de sécurité et de conformité aux référentiels, et met fortement en avant les notions d’aide au contrôle et de transparence sur le maintien en conformité des qualifications et certifications. Les réglementations, comme le RGPD ou SecNumCloud, soulignent justement l’importance de l’auditabilité, rendue obligatoire pour les clients, puisqu’en cas d’incident de sécurité, la première question qui se pose est souvent de savoir si le fournisseur a bel et bien été contrôlé voir audité. Toutefois, face aux limites du modèle de l’audit, repenser le cadre de mise en œuvre de la transparence et de l’auditabilité devient essentiel, afin de renforcer la sécurité et la confiance mutuelle entre clients et fournisseurs cloud.

L’exigence réglementaire d’auditabilité et ses limites

Les réglementations actuelles imposent des exigences croissantes en matière d’auditabilité, demandant aux fournisseurs de partager l’état d’avancement de leurs efforts d’amélioration avec leurs clients, pour se couvrir en cas d’incident de sécurité. Les audits réguliers contrôlent la façon dont les fournisseurs traitent leurs non-conformités et améliorent leurs services. Cependant, ces non-conformités sont souvent tenues secrètes par les fournisseurs, qui préfèrent mettre en avant ce qui fonctionne déjà, plutôt que l’inverse.

Bien qu’indispensable, l’audit constitue aussi un processus intrusif, complexe et coûteux à mettre en place pour le client. Il nécessite de trouver un auditeur indépendant, sans lien préexistant avec lui-même et avec le fournisseur, et de respecter des normes éthiques strictes. Les audits sont, par nature, sélectifs : un auditeur, à la fois compétent et accrédité, choisira par échantillonnages des périmètres spécifiques à auditer, en fonction de ses sensibilités, de ses connaissances et de ses expériences, laissant de côté d’autres aspects potentiellement critiques pour le client. Il peut donc être légitime de se demander si ses constats correspondent réellement toujours aux attentes de sécurité des clients.

Dépasser les référentiels de sécurité pour mieux répondre aux besoins des clients

Les référentiels de certification ou de qualification sont indispensables à l’amélioration continue des pratiques de sécurité. Néanmoins, en opérant une sélection des principes fondamentaux de sécurité qu’ils encadrent, ils peuvent devenir aussi trop restrictifs pour répondre aux besoins réels des clients.

Pour y remédier, il est crucial de contractualiser la relation de sécurité entre le fournisseur et le client, en établissant, dès le commencement de la collaboration, une matrice des responsabilités qui clarifie les obligations de chacun et renforce davantage le cadre de confiance.

Ce mécanisme permet à chaque partie d’assumer ses responsabilités en matière de sécurité des données. Le fournisseur doit non seulement respecter les exigences réglementaires et légales, mais aussi identifier les besoins spécifiques de ses clients et répondre sur sa capacité à s’y adapter. Cela implique de mettre en place des plans d’assurance sécurité qui correspondent aux attentes des clients et de les suivre de manière transparente tout au long de la prestation. Les grands principes de sécurité, tels que le chiffrement des données, la défense en profondeur et la gouvernance de la sécurité, doivent être au cœur de cette approche.

De son côté, le client doit prendre conscience que le périmètre de responsabilité du fournisseur ne couvre, pour reprendre une formulation de la Cnil, que la sécurité « du cloud », et non la sécurité « dans le cloud » auquel il n’a pas accès. La seule marge de manœuvre du fournisseur, sur ce point, est de fournir à son client la transparence nécessaire pour qu’il puisse assurer sa propre sécurité « dans le cloud ».

Créer le lien de confiance entre le fournisseur et le client, en misant sur la transparence

La transparence est l’élément ultime nécessaire pour consolider la relation de confiance, et faciliter à la fois le contrôle, la confiance et la mesure du niveau de sécurité globale du cloud et dans le cloud. Elle s’établit grâce à la régularité des informations partagées par un fournisseur à son client, pour contrôler l’état d’avancement de ses non-conformités et des actions correctives mises en place sur le périmètre des prestations offertes. C’est un moyen pour le fournisseur de montrer que ses vulnérabilités sont prises en compte : il prouve ainsi son engagement à améliorer en permanence ses services de sécurité. Cette approche assure ainsi une gouvernance continue et proactive entre les deux parties. L’objectif n’est pas de supprimer les audits, mais de rendre leur exécution moins complexe et plus efficace pour toutes les parties prenantes.

Cet appel au renforcement de la transparence et de l’auditabilité n’est pas une remise en cause des certifications, mais plutôt un soutien aux principes d’amélioration continue qu’elles incarnent. Les entreprises doivent maîtriser la sécurité de leurs données dans le cloud et être capables d’en apporter la preuve. Faire le choix d’un cloud transparent et de confiance facilite ce contrôle et assure la maitrise des obligations réglementaires actuelles et à venir.

Pour aller plus loin dans la démarche de renforcement de la sécurité, les entreprises doivent également se responsabiliser en matière de gestion de leur propre risque, en mettant en place des mesures de contrôle adéquates vis-à-vis de leurs fournisseurs. Une analyse de risque préalable est essentielle pour identifier la démarche de contrôle du fournisseur et ainsi maitriser les responsabilités en cas d’incident de sécurité.

La transparence, la confiance et une approche proactive de la sécurité sont les piliers d’un cloud de confiance, auditable et sécurisé, répondant aux besoins évolutifs des entreprises dans un environnement technologique en constante mutation.