Le niveau de confiance accru dans la sécurité des clouds publics favorise l’adoption des applications cloud, ce qui aide les entreprises à supporter la montée en charge des télétravailleurs, mais augmente également les opportunités d’actes de fraudes par les cybercriminels. Le rapport 2020 sur les menaces cloud d’Oracle et KPMG montre que les équipes de sécurité dans les entreprises et administrations ne sont pas encore prêtes à suivre le rythme auquel se fait cette adoption des services cloud, ce qui crée, dans 92% des organisations, un net décalage sur leur état de préparation sur ces questions de sécurité. A cet égard, la diversité et le nombre d'outils utilisés en même temps est révélateur. Sur les 750 professionnels IT et spécialistes en cybersécurité interrogés par KPMG et Oracle, 78% des répondants utilisaient plus de 50 produits de sécurité différents en même temps. Et 37% en avaient plus de 100. L'enquête a été menée entre décembre 2019 et janvier 2020, en Amérique du Nord, en Europe (Royaume-Uni et France) et Asie-Pacifique
Parmi les problématiques relevées figure la mauvaise configuration des services cloud. Les organisations qui ont constaté de telles situations ont subi 10 incidents de pertes de données l’an dernier, ou davantage. Près de 60% des professionnels IT sondés ont subi des attaques de spear phishing sur leurs comptes utilisateurs ayant des identifiants à privilèges. Les mauvaises configurations les plus courantes concernent à 37% ces comptes à privilèges, à 35% exposent les serveurs web ou d’autres types de serveurs et à 33% sont dû à l’absence d’authentification multifacteurs pour accéder aux services-clés. Plus que jamais auparavant, les organisations transfèrent dans le cloud des charges de travail critiques à leurs activités. Mais cette utilisation accrue du cloud a créé des angles morts car les équipes IT et les fournisseurs de services cloud cherchent toujours à établir les responsabilités respectives dans la sécurisation des données. Cette confusion laisse les équipes de cybersécurité se démener pour faire face à un paysage de menaces en hausse constante.
Les modèles de sécurité partagés ne sont pas clairs
Plus de 90% d’entreprises utilisent des applications SaaS, 76% recourent aux services d’infrastructure cloud (IaaS) et la moitié prévoit de transférer toutes leurs données dans le cloud dans les deux prochaines années. Les modèles de sécurité partagés ne sont toujours pas clairement établis. Seules 8% des responsables en cybersécurité indiquent comprendre entièrement le modèle de sécurité à responsabilités partagées. Interrogés sur les outils, 70% des professionnels IT estiment que le nombre d’outils nécessaires pour sécuriser leur empreinte cloud est trop important. Et 75% disent avoir subi, plus d’une fois, une perte de données à partir d’un service cloud.
Le rapport d’Oracle/KPMG pointe la nécessité de construire un modèle mettant la sécurité au premier plan. Cela inclut le recrutement, la formation et la rétention de professionnels de sécurité IT et l’amélioration constante des processus et technologies permettant d’aider à contrer et réduire l’impact des menaces numériques. Près de 70% des organisations interrogées indiquent par exemple que leur CISO s’est impliqué dans les projets clouds seulement après la survenue d’un incident de cybersécurité. 73% des sondés prévoient par ailleurs d’embaucher un CISO ayant davantage de compétences sur la sécurité cloud.
Le BISO se propage pour aider à diffuser la culture de sécurité
Plus de la moitié ont créé un tout nouveau poste dénommé Business Information Security Officer (BISO) pour collaborer avec le CISO et aider à diffuser dans l’entreprise une culture de la sécurité. Enfin, 88% des professionnels IT estiment que dans les trois ans, les mises à jour de sécurité dans leur cloud se feront de façon automatisée à l’aide de l’intelligence artificielle. 87% d’entre eux place les capacités d’IA dans les achats à effectuer pour mieux protéger comme les achats incontournables à effectuer pour mieux se protéger contre la fraude, les malwares et les mauvaises configurations.
Commentaire