Face à l’intensification des questions autour de la protection des données, le choix d’un fournisseur technologique ne peut désormais plus être perçu comme neutre : il doit s’appuyer sur des exigences élevées en matière de sécurité et de conformité aux référentiels, tout en valorisant les capacités de contrôle ainsi que la visibilité sur le suivi des certifications et qualifications. Les réglementations, telles que le RGPD ou SecNumCloud, mettent d’ailleurs en avant le rôle essentiel de l’auditabilité, rendue incontournable pour les clients, dans la mesure où, en cas d’incident de sécurité, la question de la réalité des contrôles ou des audits effectués se pose immédiatement. Toutefois, compte tenu des limites du modèle d’audit, une évolution des modalités de mise en œuvre de la transparence et de l’auditabilité apparaît nécessaire pour renforcer la sécurité et consolider la confiance entre fournisseurs cloud et clients.
Vers un cloud de confiance plus auditable et plus transparent, pour une sécurité renforcée

L’exigence réglementaire d’auditabilité et ses limites
Les réglementations actuelles imposent des exigences croissantes en matière d’auditabilité, demandant aux fournisseurs de partager l’état d’avancement de leurs efforts d’amélioration avec leurs clients, pour se couvrir en cas d’incident de sécurité. Les audits réguliers contrôlent la façon dont les fournisseurs traitent leurs non-conformités et améliorent leurs services. Cependant, ces non-conformités sont souvent tenues secrètes par les fournisseurs, qui préfèrent mettre en avant ce qui fonctionne déjà, plutôt que l’inverse.
Bien qu’indispensable, l’audit constitue aussi un processus intrusif, complexe et coûteux à mettre en place pour le client. Il nécessite de trouver un auditeur indépendant, sans lien préexistant avec lui-même et avec le fournisseur, et de respecter des normes éthiques strictes. Les audits sont, par nature, sélectifs : un auditeur, à la fois compétent et accrédité, choisira par échantillonnages des périmètres spécifiques à auditer, en fonction de ses sensibilités, de ses connaissances et de ses expériences, laissant de côté d’autres aspects potentiellement critiques pour le client. Il peut donc être légitime de se demander si ses constats correspondent réellement toujours aux attentes de sécurité des clients.
Des cadres de sécurité à enrichir pour mieux couvrir les besoins opérationnels
Les référentiels de certification et de qualification jouent un rôle clé dans l’amélioration continue des pratiques de sécurité. Toutefois, en se concentrant sur un ensemble de principes fondamentaux, ils peuvent apparaître insuffisants pour répondre de manière exhaustive aux besoins concrets des clients.
Pour dépasser cette limite, la relation de sécurité entre fournisseur et client doit être encadrée contractuellement. Dès l’engagement initial, une matrice des responsabilités doit être définie afin de préciser les obligations respectives et de consolider le cadre de confiance.
Ce mécanisme permet d’organiser clairement la répartition des responsabilités en matière de sécurité des données. Le fournisseur doit non seulement satisfaire aux exigences réglementaires et légales, mais aussi prendre en compte les attentes spécifiques de ses clients et démontrer sa capacité à s’y adapter. Cela implique la mise en place de dispositifs d’assurance sécurité alignés sur ces attentes, ainsi qu’un suivi transparent tout au long de la prestation. Les principes fondamentaux de sécurité, tels que le chiffrement des données, la défense en profondeur et la gouvernance, doivent structurer cette démarche.
Le fournisseur doit comprendre que sa responsabilité, comme le stipule la distinction de la Cnil, n’inclut que la sécurité « du cloud » et non la sécurité « dans le cloud », qui relève du client.
Dans ce contexte, la contribution du fournisseur consiste à apporter la transparence nécessaire pour permettre au client d’assurer cette sécurité.
Créer le lien de confiance entre le fournisseur et le client, en misant sur la transparence
La transparence est l’élément ultime nécessaire pour consolider la relation de confiance, et faciliter à la fois le contrôle, la confiance et la mesure du niveau de sécurité globale du cloud et dans le cloud. Elle s’établit grâce à la régularité des informations partagées par un fournisseur à son client, pour contrôler l’état d’avancement de ses non-conformités et des actions correctives mises en place sur le périmètre des prestations offertes. C’est un moyen pour le fournisseur de montrer que ses vulnérabilités sont prises en compte : il prouve ainsi son engagement à améliorer en permanence ses services de sécurité. Cette approche assure ainsi une gouvernance continue et proactive entre les deux parties. L’objectif n’est pas de supprimer les audits, mais de rendre leur exécution moins complexe et plus efficace pour toutes les parties prenantes.
Cet appel au renforcement de la transparence et de l’auditabilité n’est pas une remise en cause des certifications, mais plutôt un soutien aux principes d’amélioration continue qu’elles incarnent. Les entreprises doivent maîtriser la sécurité de leurs données dans le cloud et être capables d’en apporter la preuve. Faire le choix d’un cloud transparent et de confiance facilite ce contrôle et assure la maitrise des obligations réglementaires actuelles et à venir.
Pour aller plus loin dans la démarche de renforcement de la sécurité, les entreprises doivent également se responsabiliser en matière de gestion de leur propre risque, en mettant en place des mesures de contrôle adéquates vis-à-vis de leurs fournisseurs. Une analyse de risque préalable est essentielle pour identifier la démarche de contrôle du fournisseur et ainsi maitriser les responsabilités en cas d’incident de sécurité.
La transparence, la confiance et une approche proactive de la sécurité sont les piliers d’un cloud de confiance, auditable et sécurisé, répondant aux besoins évolutifs des entreprises dans un environnement technologique en constante mutation.
