A mesure que les usages du cloud se répandent, la question de l'unification de la sécurité d'applications et données réparties sur de multiples environnements devient de plus en plus prégnante. Telle est la principale conclusion d'une récente étude menée par le fournisseur de solutions de sécurité Fortinet, auprès de 752 responsables de la cybersécurité ou de la production IT répartis dans le monde entier.
Ce rapport témoigne de la progression des environnements cloud dans le paysage IT des entreprises : si 39% d'entre elles font tourner moins de 50% de leurs applications dans le cloud aujourd'hui, cette part devrait bondir de près de 20 points dans les 12 à 18 mois qui viennent. Ces usages de plus en plus larges s'accompagnent d'une diversification des plateformes employées : deux-tiers des organisations s'appuient ainsi sur deux fournisseurs de cloud ou davantage. Et, malgré certains écueils - en particulier sur la maîtrise des coûts -, les entreprises semblent y trouver leur compte. 52% d'entre elles estiment que le virage vers le cloud a permis d'accroître la réactivité aux attentes des clients et 48% disent qu'il a réduit la durée de mise sur le marché des nouveaux produits ou services.
Une faille sur le cloud public plus probable que sur le on-prem
Mais cette migration graduelle vers le multicloud soulève des interrogations en matière de cybersécurité. 95% des responsables cyber interrogés se disent modérément à extrêmement inquiets du niveau de sécurité de leurs déploiements sur le cloud public. Et 43% d'entre eux estiment que le risque d'une faille de sécurité sur leurs environnements cloud est supérieur à celui existant sur le on-premise, contre seulement 27% qui pensent le contraire.
Cette vision assez sombre s'explique par les difficultés opérationnelles que rencontrent les responsables de la cybersécurité ou de la production IT. 43% d'entre eux sont confrontés à un manque de compétences spécialisés et37% à des difficultés relatives à la mise en conformité. Sans oublier les conséquences directes du virage vers le multicloud : un décideur sur trois se plaint d'un déficit de visibilité sur les déploiements effectués et la même proportion de la difficulté à appliquer des politiques cohérentes sur l'ensemble des environnements. D'ailleurs, les problématiques nées de cette généralisation du multicloud rejoignent celles liées à la disponibilité des compétences, puisque 58% des responsables sont confrontés à des difficultés pour réunir les compétences nécessaires au déploiement de solutions de sécurité sur tous les environnements cloud.
Les erreurs de configuration, le risque n°1
Face à ces constats, les décideurs interrogés témoignent d'un accroissement des budgets de sécurisation du cloud. Ils sont 60% à voir ces enveloppes progresser et, en moyenne, cette croissance se chiffre à 33% ! Des investissements qui devraient servir à traiter les priorités des RSSI : la prévention des mauvaises configurations (citée par 51% des responsables interrogés) et la sécurisation des principales applications cloud en production (48%). Notons que les erreurs de configuration sont considérées comme le risque numéro dans le cloud public, devant l'exfiltration de données sensibles et les interfaces ou API mal sécurisées. Selon un rapport récent de Google, trois compromissions sur cinq dans le cloud proviennent ainsi d'une mauvaise configuration des identités et des accès.
A la lumière de cette situation, voir les trois quarts des professionnels sondés expliquer qu'une plateforme unifiée gérant la sécurité sur les différents environnements cloud, avec un tableau de bord unique, serait de très à extrêmement utile ne constitue pas réellement une surprise. Reste que le chemin menant à ce Graal est étroit : migrer des solutions aujourd'hui déployées en silos vers une plateforme centralisée est long, cher et risqué.
Commentaire