9 organisations sur 10 se disent concernées par la sécurité du cloud, ce qui fait de cette problématique le principal facteur qui retient l'accélération de l'adoption du Cloud Computing. Quels sont les risques qui pèsent sur le cloud et comment réagissent les professionnels de la cyber-sécurité ?
L'étude « Cloud Security Spotlight Report » de Cloud Research Partners, qui a interrogé 1000 professionnels de la cyber-sécurité, rappelle que la sécurité demeure la première barrière à l'adoption du Cloud Computing. 90 % des répondants ont exprimé leurs inquiétudes quant à la sécurité et aux risques qui portent sur la donnée.
7 entreprises sur 10 sont concernées par le cloud
Sur la population interrogée, qui est issue de la communauté LinkedIn de la Sécurité de l'Information, qui compte plus de 250.000 membres, 71 % ont indiqué qu'ils utilisent ou qu'il projettent d'utiliser le cloud. Et seulement 17 % ont indiqué qu'ils n'envisagent pas de déploiement.
La sécurité du cloud demeure la principale préoccupation des organisations et de ceux qui en ont la responsabilité. 47 % se disent « très concernés », et 43 % « modérément concerné ». Et seulement 5 % se déclarent « non concernés ».
L'étude pointe en particulier l'usage du cloud public. 77 % des répondants ont indiqué qu'ils investissent dans ce domaine, et 37 % que leur organisation en fait déjà un usage 'modéré'. Mais 12 % en limitent les usages. De même, 71 % adoptent ou pensent adopter une démarche de cloud hybride, mais 17 % s'en tiennent à leur cloud privé.
Les risques du cloud
Si un professionnel de la cyber-sécurité sur deux (45%) se déclare être concerné « en général » par la sécurité, ils sont 41 % à craindre la perte et la fuite de données, 31 % craignent d'aller jusqu'à la perte de contrôle !
Les plus grandes menaces perçues sont :
- 63 % - l'accès non autorisé ;
- 61 % - le détournement de comptes, du service et du trafic ;
- 43 % - les malveillants 'de l'intérieur' ;
- 41 % - les interfaces et API non sécurisées ;
- 39 % - les attaques DoS.
Failles et stockage personnel
Ce qui surprend dans les propos de ces professionnels, c'est qu'environ un tiers d'entre eux (28%) ont déclaré avoir subi plus de failles de sécurité provenant du cloud public que sur leur site. A l'inverse, ils ne sont que 22 % à affirmer que le cloud public présente moins de failles. Notons que 27 % se doutent que c'est la même chose, et 22 % ne savent pas ! Il sont en revenche 36% à ceoire que les applications dans le cloud sont moins sécurisées que les applications déployées en interne.
Par ailleurs, l'un des points les plus inquiétants pour 78 % des participants provient de l'usage par les employés des services de stockage dans le nuage, auxquels ils associent des risques de fuite des données.
Protéger les environnements de cloud
Pour adresser la problématique de la sécurité dans le cloud, les professionnels de la sécurité misent (60%) sur une sécurité consistante au travers de leurs infrastructures IT et (58%) sur une protection en continu. Ils misent également sur des partenariats avec les fournisseurs de services managés (34%), sur l'utilisation de logiciels de sécurité (33%), et sur le recrutement de personnes qualifiées dans leurs équipes IT (31%).
Emergent trois méthodes pour réduire le risque :
- 50 % - établir et appliquer une politique cohérente de sécurité du cloud ;
- 45 % - adopter des API pour le reporting, l'audit et les alertes de sécurité ;
- 41 % - étendre les contrôles de sécurité sur les applications hébergées en interne.
Ainsi que cinq outils pour accompagner ces méthodes :
- 65 % - le cryptage des données ;
- 57 % - le cryptage de réseau ;
- 48 % - le contrôle d'accès ;
- 48 % - la détection et la prévention des intrusions ;
- 45 % - la formation à la sécurité.