L’étude menée à l’occasion du CSO Interchange Paris nous permet de plonger au coeur de quatre facettes de la vie du RSSI en 2012 : sa relation au Cloud Computing, son approche du BYOD, l’évolution de ses ressources et l’irruption du Correspondant Informatique et Libertés (CIL) dans son quotidien.

Le Cloud : ça se formalise… presque !

La position des RSSI français face à l’arrivée des solutions d’entreprise en mode Cloud semble devenir plus claire. Si seulement 12,2% de nos participants se disent toujours réfractaires au Cloud, ils sont exactement la même proportion à les adopter massivement (12,2%). Entre ces deux extrêmes, on est prudent mais on avance tout de même. 14,6% d’entre eux ont ainsi adopté des solutions Cloud pour des services non critiques (messagerie, collaboration en ligne…) et 61% indiquent être en phase de réflexion pour l’adoption de solutions métier. L’avenir semble donc être à l’adoption progressive de ces solutions.

Si l’on s’intéresse plus particulièrement aux solutions de sécurité dans le nuage, les chiffres évoluent mais la tendance demeure. Les RSSI sont ainsi beaucoup plus nombreux à utiliser des solutions de sécurité dans le Cloud (29,4% contre 12,2%) mais aussi plus nombreux à ne pas vouloir en entendre parler (23,5% contre 12,2%). Là aussi, ce sont donc les positions intermédiaires qui feront bouger les choses à l’avenir (26, 6% ont adopté des solutions de sécurité dans le nuage uniquement pour les besoins non critiques et pour 26,5% la question est encore à l’étude)

Preuve que l’arrivé de ces solutions dans l’entreprise se formalise, la SSI est impliquée dans le choix de ces solutions à plus de 72% (soit parce que la maîtrise d’ouvrage consulte l’équipe SSI pour 42,5% des réponses, soit parce que le RSSI participe directement au choix de la solution dans 30% des cas).

Lorsqu’elle est consultée, la SSI cherche avant tout à s’assurer que la solution Cloud est compatible avec la politique de sécurité de l’entreprise. C’est pourquoi elle évalue le prestataire avant tout à l’aide d’un questionnaire propriétaire dérivé de sa propre PSSI (43,9%). Pour le reste, un peu plus d’un quart de nos participants (26,8%) préfèrent s’intéresser d’abord aux certifications présentées par le fournisseur (ISO 27001, SAS 70) et 17% attendent plutôt une conformité à des textes tels ceux proposés par l’ENISA ou le CSA). En définitive, le « droit à l’audit » dont l’on parle pourtant beaucoup n’est que très peu exploité : seulement 12% de nos participants indiquent faire intervenir leur propre cabinet d’audit sur site avant de choisir une solution dans le nuage.

Deux problèmes subsistent toutefois, liés à la visibilité et aux identités. Seule une minorité d’entreprises (17,1%) a recensé les applications Cloud potentiellement utilisées par les collaborateurs sans l’aval de leur DSI. Un petit quart (24,4%) y travaille, mais une grande majorité (58,5%) n’a strictement aucune idée des applications Cloud utilisées par leurs employés.