
L'automatisation de la sécurité du cloud suscite un intérêt grandissant
L’automatisation de la sécurité du cloud suscite un intérêt croissant, mais une enquête menée par la Cloud Security Alliance (CSA) auprès de 960 professionnels de l’informatique et de la sécurité révèle que les deux principaux objectifs que les entreprises tentent d’atteindre sont la protection des données des clients (43 %) et l’automatisation de la prévention des menaces liées au cloud et au Web (41 %).
Cependant, 64 % des personnes interrogées déclarent qu’en matière de gouvernance, leur entreprise s’appuie encore sur des scripts manuels (37 %), l’automatisation simple (20 %) ou ne dispose d’aucune automatisation (7 %).
D’une manière générale, les entreprises, grandes et petites, recourent davantage à l’automatisation pour pallier la pénurie constante de professionnels de la cybersécurité. Le problème est devenu particulièrement préoccupant à mesure que les workloads migrent vers le cloud. La sécurisation du cloud est fondamentalement différente de celle des environnements informatiques sur site, et le nombre de professionnels de la cybersécurité ayant une expertise dans le domaine du cloud est de ce fait encore plus restreint.
L’enquête révèle que la moitié des entreprises interrogées ont des équipes chargées de la sécurité du cloud et du Web composées de trois à neuf personnes. 31 % ont 10 personnes ou plus. Toutefois, seules 44 % ont déclaré disposer d’une équipe dédiée à la sécurité du cloud.
La plus grande préoccupation concerne les environnements IaaS (infrastructure-as-a-service) que les entreprises utilisent pour exécuter des workloads, près de la moitié des personnes interrogées (45 %) affirmant avoir été victimes d’une violation. En comparaison, 40 % d’entre elles ont constaté que des applications tierces avaient été victimes d’une violation, suivies par les applications privées/internes (34 %) et les applications SaaS (Software-as-a-Service) et web (32 %). Les principaux défis en matière de gouvernance du cloud pour les entreprises sont les mauvaises configurations et les vulnérabilités des IaaS/PaaS (32 %).
Seules 24 % des personnes interrogées ont décrit leurs efforts en matière de sécurité du cloud comme étant très efficaces, tandis que 48 % les ont jugés relativement efficaces. Les domaines d’investissement actuels sont les formations de sensibilisation à la sécurité (49 %), la sécurité des terminaux (47 %), les solutions de gestion des identités (43 %) et la gestion des accès privilégiés (38 %).
Le défi de la sécurité du cloud tient au fait qu’il n’y a pas qu’un seul cloud à protéger. Les workloads des applications sont répartis entre différents types de services qui présentent chacun leurs propres exigences en matière de sécurité, qu’il convient de maîtriser. Plus complexe encore, les plateformes cloud doivent être sécurisées parallèlement aux plateformes classiques. Près de la moitié des personnes interrogées (47 %) ont indiqué que la gestion de l’infrastructure de sécurité héritée et sur site restait leur principal défi.
Plus de 80 % des entreprises sont également moyennement à fortement préoccupées par les fournisseurs et les partenaires. Et précisément, 58 % des personnes interrogées ont indiqué que des tiers et des fournisseurs avaient déjà été la cible d’attaques.
Dans l’ensemble, les types d’applications cloud dont les entreprises se préoccupent le plus sont les applications de courrier électronique (36 %), d’authentification (37 %), de stockage/partage de fichiers (35 %), de gestion des relations client (33 %) et de veille économique (30 %), selon l’enquête.
Il est difficile de savoir dans quelle mesure la sécurité du cloud constitue une véritable menace, mais en l’absence de toute avancée dans l’adoption de solutions d’automatisation, il ne fait aucun doute que cette menace sera bientôt réelle. En effet, les équipes de cybersécurité sont engagées dans une course contre la montre, car les cybercriminels sont de plus en plus aptes à cibler un éventail toujours plus large de services cloud. Le problème, malheureusement, est que l’automatisation de la sécurité du cloud requiert des compétences qui font encore défaut à de trop nombreuses entreprises.