Si l’innovation s’est considérablement accélérée grâce au cloud et à l’externalisation, les entreprises doivent protéger les données et sécuriser les systèmes tout en permettant à leurs collaborateurs de continuer à innover rapidement et massivement.
En déportant une partie de leur informatique vers le cloud, les entreprises ont pu se concentrer sur leur métier et l’innovation. Mais, dans cette course poursuite qu’elles se livrent avec leurs concurrents, elles sacrifient souvent la sécurité au profit de la vélocité. De fait, l’innovation s’est fortement accélérée, mais la sécurité n’a pas suivi le même rythme. Laceworks, l’éditeur américain, et récente licorne, de sécurité dans le cloud, s’est associé à la société de recherche et de stratégie internationale ClearPathStrategies pour comprendre comment les enjeux et les pratiques de sécurité ont évolué, à mesure que le cloud et la transformation numérique ont accéléré les changements, et comment les dirigeants et les opérationnels gèrent l’évolution du paysage.
Sans surprise, l’étude constate que les professionnels de la sécurité sont sous pression. Bien sûr du fait de la menace persistante, mais aussi de la dichotomie entre la nécessité de la cybersécurité et l’adoption d’une posture sécuritaire par leur entreprise. Ainsi, 88 % des personnes interrogées estiment que la sécurité de leur environnement cloud deviendra de plus en plus stratégique au cours de l’année prochaine. Dans le même temps, 79 % des répondants ont exprimé des doutes (sentiment d’être dépassé, incertitude, manque de contrôle, etc.) quant à la posture actuelle de leur organisation en matière de sécurité.
La préoccupation sécuritaire ne doit pas obérer la créativité
Les entreprises doivent donc créer un environnement dans lequel les employés sont en confiance pour créer et innover, sans mettre les données en danger. La préoccupation cybersécuritaire ne doit donc pas obérer la créativité des développeurs. Les professionnels de la sécurité doivent pouvoir gérer la sécurité d’une organisation sans ralentir les cycles de production, s’ils doivent constamment traquer chaque alerte et faux positif.
Les équipes de développeurs affirment qu’elles consacrent déjà environ un quart de leur temps à la sécurité, et seulement un tiers d’entre elles pensent que ce temps est bien employé. Dans le même temps, le secteur est confronté à une profonde crise du recrutement. La pénurie de talents, notamment de personnes possédant des compétences dans la sécurité du cloud, réduit les capacités des services de sécurité, surtout dans une période d’évolution de l’approche traditionnelle de la sécurité.
L’implication du conseil d’administration est indispensable
Pour les répondants, la solution à cette anomalie est l’automatisation et la protection des données, selon l’étude. « La caractéristique la plus intéressante de la sécurité du cloud, pour toutes les personnes interrogées, est “l’automatisation de la détection des menaces et des violations pendant l’exécution” », affirme le rapport. Plus de la moitié des grandes entreprises ont déjà automatisé 60 % ou plus de leur sécurité du cloud. Le second volet de ce diptyque consiste à faire de la protection des données une priorité du conseil d’administration, précise le rapport. La précision est importante, car l’implication du conseil d’administration signifie que le problème est pris au sérieux dans les plus hautes sphères, et que, de ce fait, il bénéficiera des financements adéquats.
Dans un environnement où les violations de données et les vulnérabilités comme Log4j sévissent en continu, seuls 24 % des entreprises déclarent que leur stratégie en matière de données fait l’objet d’une réflexion au niveau du conseil d’administration. « Les entreprises ne peuvent plus se permettre de laisser la gestion de la sécurité uniquement aux ingénieurs et aux analystes, estime le rapport. Pour éviter de faire la une des journaux, les conseils d’administration doivent faire de la sécurité une priorité absolue ».