Le Cloud Security Threat Report est à l’initiative des équipes du spécialiste de la Cyber-sécurité Symantec. Sur le premier semestre 2019, l’éditeur a interrogé plus de 1250 décideurs en Sécurité dans le monde. Cette enquête nous livre un Etat de l’Art de la maturité des pratiques sécuritaires au sein des entreprises agrémenté de quelques conseils pour adapter une stratégie de sécurité qui tienne compte des nouvelles menaces qui visent le Cloud.

Jim Reavis, co-fondateur et CEO de la Cloud Security Alliance résume bien la situation : « le Cloud est un vecteur primordial pour gérer la sécurité mais il génère dans la même proportion un grand nombre d’incidents. Il faut que les entreprises réalisent quels sont les nouveaux challenges en termes de Sécurité afin de pouvoir envisager une réponse adaptée. Au coeur de cette bataille, l ‘identité devient un vecteur d’attaque critique dans le Cloud et la combinaison Identité/Gestion des Accès, la base fondamentale pour sécuriser les Systèmes d’Information dans un monde hautement virtualisé ».

Un Stockage éparpillé

Parmi les principales vulnérabilités dans ce nouveau paysage où le Cloud devient quasiment le coeur du Système d’Information (SI), le stockage « éclaté » sur les différents Cloud existants composant le fameux nouveau SI. Cela permet également de constater que les entreprises optent toutes pour différents Clouds : le Cloud privé (IaaS), le Cloud Public (IaaS) et les environnements On Premise sont utilisés par 18% des entreprises interviewées, le Cloud public encore mais en mode SaaS cette fois à hauteur de 17%, idem pour le Cloud privé juste derrière avec 16% et enfin le Cloud Hybride avec un score de 13%. Elles ne sont pas moins de 93% à stocker leurs données dans plus d’un environnement et parmi elles, 53% à utiliser le Cloud alors que 69% continuent également à stocker on premise. Dans un tel contexte, difficile d’assurer une bonne cybersécurité avec les outils traditionnels quand les applications comme les workloads sont répartis dans différents endroits.

01

Peu de visibilité ...

Le shadow IT s’accroît proportionnellement avec la montée en puissance du Cloud et notamment avec les applications en mode SaaS. C’est un moyen plus rapide d’augmenter leur productivité selon les départements métier qui ont des objectifs à tenir et ne veulent plus subir les lenteurs de la DSI. Symantec confirme en chiffres cette réalité du shadow IT : quand la moyenne des organisations pensent que les employés utilisent 452 applications Cloud c’est plutôt 1807 qui le sont soit 4 fois plus. Ce manque de visibilité et donc de contrôle augmente dans le temps selon l’étude avec un taux de 16% plus élevé cette année que l’an passé et une prévision de croissance pour atteindre le taux de 21% pour l’an prochain.

02

... et un manque de perception

En moyenne 53% des entreprises annoncent avoir migrer leurs workloads dans le Cloud (seules 3% d’entre elles l’ont fait totalement). Or la visibilité de ces workloads dans le Cloud reste un problème car 93% des répondants de l’étude témoignent de difficultés notables à garder une vision globale de toutes leurs charges de travail informatique. Et en poursuivant l’investigation Symantec révèle qu’ils sont seulement 3 sur 10 à dire que ce manque de visibilité dans l’IaaS est une menace majeure et seulement une personne sur dix la considère comme une vulnérabilité critique. Un constant qui marque le manque de prise de conscience du réel risque en termes de sécurité relatif à ce manque de visibilité.

Et pourtant ils sont 49% à considérer que leur capacité à faire face aux menaces dans le Cloud est insuffisante, 92% reconnaissent qu’ils doivent renforcer leur expertise et 84% devoir renforcer leurs équipes. Seuls 27% se sentent prêts à faire face à de tels problèmes.

Mais quels sont les risques du Cloud ?

Difficile de s’adapter quand on ne connaît pas le risque. Et Symantec constate que seul 7% des personnes interrogées considère le détournement de compte comme un des plus gros risques alors que l’éditeur affiche que 42% des comportements à risque détectés dans une entreprise proviennent précisément d’une compromission de compte. Un écart entre ressenti et réalité suffisant pour qu’une stratégie de sécurité envisagée ne corresponde plus aux réelles menaces confirmé par le top 3 des craintes des personnes interrogées.

03

Quelques parades

Quand il est difficile de combattre le shadow IT et d’avoir une visibilité suffisante du périmètre IT, il faut savoir contourner le problème. Il existe des services ou outils d’automatisation et d’analyse dont le rôle est de détecter les comportements inhabituels dans un SI comme les fameux outils de DLP (Data Loss Prevention) ou les CASB, Cloud Access Security Broker. Cela va sans dire, Intelligence Artificielle (AI) et Machine Learning (ML) ne sont pas bien loin de ces concepts.

En ce qui concerne les problématiques dues aux Workloads, encore le CASB peut-être utile mais sont également apparues de nouvelles plateformes de protection dédiées aux charges de travail informatique. L’ajout d’outils d’administration (comme le Cloud Security Posture Management) ne pourra que renforcer la politique de sécurité, notamment avec des fonctions de découverte de certaines vulnérabilités.

Pour finir ne jamais mésestimer l’importance des campagnes de sensibilisation auprès des collaborateurs.