Le cloud apporte plus de flexibilité sur les usages, réduit les investissements, offre la mise à jour fonctionnelle des produits et services mais revers de la médaille, il accroit la surface d’attaque des individus malveillants. Une enquête réalisée par Forrester pour le compte de Tenable auprès de 100 responsables informatiques et RSSI français détaille ce volet de la sécurité IT. Sept organisations sur dix utilisent des environnements multi-cloud et/ou cloud hybride et les deux tiers des répondants citent l'infrastructure cloud comme l'un des principaux facteurs d'exposition aux risques numériques.
Les erreurs de configuration liées aux identités ou les vulnérabilités des protocoles de sécurité fragilisent les défenses des entreprises. Sans surprises, 70 % du panel de l’étude estime que leur organisation serait mieux à même de se défendre contre les cyber-attaques en renforçant la sécurité préventive. Presque un truisme.
Le recours au cloud est surtout le fait des TPE ou PME pour des raisons financières alors que les grandes entreprises conservent les ressources et données critiques en local, dans une architecture de cloud hybride. Les grandes unités de production disposent des budgets nécessaires pour mettre en place un centre performant des opérations de Sécurité (SOC) et des solutions de gestion des identités et des accès IAM et PAM.
Dans son panorama des menaces 2022, toujours valable à ce jour, l’ANSSI expliquait entre autres que l’externalisation de services informatiques auprès d’entreprises de services numériques (ESN) augmente les risques. Et de citer les attaques contre les solutions de virtualisation de Mandiant et VMware ainsi que le ciblage des hyperviseurs par les ransomwares.
Un conflit entre les performances du SI et la cybersécurité
La rapidité des mises en production et le temps de disponibilité des équipements priment sur les contraintes de cybersécurité. Ainsi, 56 % des répondants affirment échanger tous les mois avec les dirigeants sur les environnements critiques, restent à savoir si ces réunions sont suivies d’effets concrets. De leur côté 58 % des équipes IT se disent plus accaparées par le temps de disponibilité que par la mise en place des mesures correctives de sécurité. Plus préoccupant, 41 % du panel affirme que la coordination entre les équipes IT et cybersécurité est difficile et chronophage.Un point qui ne surprendra pas les responsables SI et RSSI, 24 % des personnes interrogées affirment que les équipes commerciales et techniques achètent et déploient des services cloud sans en informer l'équipe de cyber-sécurité. Comment dans ces conditions assurer un niveau de sécurité convenable si ces informations ne font pas l’objet d’une discussion ?
Les recommandations découlent des constats de l’enquête de Tenable. En particulier, intégrer la cybersécurité aux processus d’achat, faire un état des lieux complet des vulnérabilités et des erreurs de configuration ou encore, réduire le nombre d'outils cloisonnés utilisés. D’autre part, les données de plus en plus volumineuses et souvent disparates doivent être triées et catégorisées, en vue notamment des usages de l’IA. Enfin, L'entreprise doit faire en sorte que tous ses salariés utilisent les mêmes indicateurs (KPI), équipes IT, cyber-sécurité, cloud, ingénierie, DevOps ou gestion des identités et des accès. Vaste programme qui exige une véritable qualité de gouvernance.