Accès non autorisés, interfaces non sécurisées, erreurs de configuration, détournements de comptes : toutes ces vulnérabilités du cloud public doivent plus que jamais inciter les organisations à renforcer leur politique de sécurité. Si le cloud est un maillon essentiel de la transformation numérique, il peut devenir également le talon d’Achille !
Menée au printemps dernier auprès de 674 professionnels de la cybersécurité et de l'informatique, l’étude sur la sécurité du Cloud 2019 de Check Point doit être vue comme une salutaire piqure de rappel, voire à la limite, comme une sorte de « cahier des charges spécial cloud» destiné à renforcer la politique de sécurité.
Rappelons en effet que chaque partie doit assurer une partie de la sécurité. Les fournisseurs de cloud doivent s’assurer que leur infrastructure peut résister aux cyberattaques et que leur data center ne craignent rien. En gros, ils s’occupent « du » cloud.
En face, les entreprises doivent entre autre renforcer la confidentialité des données qu’elles hébergent dans le cloud et bien contrôler les accès. En gros, elles gèrent ce qui est « dans » le cloud.
Sur le papier, la répartition est claire. Dans la réalité, ce n’est pas aussi évident. « La majorité des entreprises a déclaré que leurs instances dans le cloud public n'ont pas été piratées (54 %), mais 25 % d’entre elles ne savent pas si elles ont été victimes d’une faille de sécurité dans le cloud, tandis que 15 % ont confirmé avoir subi un incident de sécurité dans le cloud », constate Check Point.
À l’occasion de son rapport, le fournisseur de solutions de sécurité rappelle fort à propos une série de constats qui peuvent paraître évidents, mais qui montrent à quel point la situation est délétère :
- Les quatre principales vulnérabilités citées par les personnes interrogées sont les accès non autorisés au cloud (42 %), les interfaces non sécurisées (42 %), les erreurs de configuration du cloud (40 %) et les détournements de comptes (39 %).
- Les principaux problèmes de sécurité liés au cloud sont le manque de visibilité sur la sécurité et la conformité de l'infrastructure (67 % au total). La définition de politiques de sécurité cohérentes entre les environnements dans le cloud et sur site, ainsi que le manque de personnel de sécurité qualifié sont en troisième position (31 % chacun).
- Les outils de sécurité existants ne sont pas conçus pour les clouds publics : la majorité (66 %) a déclaré que les solutions de sécurité traditionnelles ne fonctionnaient pas du tout ou ne fournissaient que des fonctionnalités limitées dans le Cloud.
Avec une liste de plus en plus longue de fournisseurs dans le cloud (multicloud), il devient difficile pour les DSI et les équipes informatiques de les surveiller précisément et en permanence. Pour réagir plus efficacement et bénéficier d'une visibilité plus complète, ils devront notamment accorder plus d’importance à l'automatisation des rapports et des audits de sécurité.
Source : checkpoint.com