Selon l’étude « Perspective sur la sécurité du Cloud 2022 » de Lacework, 79 % des responsables IT ont exprimé des doutes (manque de contrôle, surmenage, manque de planification) quant à la posture de sécurité de leur entreprise.
Dans la course à la concurrence, les entreprises sacrifient souvent la sécurité au profit de la rapidité. En s’appuyant sur les réponses de 700 cadres et spécialistes dans les domaines de la sécurité et du DevOps, Lacework constate que les enjeux et les pratiques de sécurité ont évolué à mesure que le cloud et la transformation numérique ont accéléré les changements.
Les professionnels de la sécurité subissent la pression : 88 % des personnes interrogées estiment que la sécurité de leur environnement cloud deviendra de plus en plus stratégique au cours de l’année prochaine.
Des doutes sur la sécurité
Un enjeu majeur puisque 50 % des organisations ayant participé à cette étude hébergent déjà la majorité de leur infrastructure dans le cloud public et 18 % dans un cloud privé note Lacework qui propose une plateforme d’analyse des données pour repérer des failles.
Dans le même temps, 79 % d’entre eux ont exprimé des doutes (sentiment d’être dépassé, incertitude, manque de contrôle, etc.) quant à la posture actuelle de leur organisation en matière de sécurité.
Le rythme du développement des applications natives du cloud a augmenté de façon exponentielle et cette tendance va se poursuivre encore un certain temps. La plupart des organisations le savent et se sont adaptées en conséquence.
Mais les mesures destinées à protéger les données sont restées à la traîne. Elles doivent s’adapter à des écosystèmes technologiques de plus en plus complexes. Une majorité d’organisations (57 %) pensent déjà que « le nombre et la complexité de nos outils de sécurité sont à l’origine d’un manque important d’efficacité »
Autre constat inquiétant : seules 24 % des entreprises interrogées (la moitié aux Etats-Unis) déclarent que leur stratégie en matière de données fait l’objet d’une réflexion au niveau du conseil d’administration.
« zero-day » et Log4j
A noter également que 55 % des DSI estiment que la moitié de leur temps consacré à la sécurité est du temps gaspillé.
Une partie du problème réside dans la quantité de vulnérabilités, connues ou non, qui peuvent exister. Selon cette enquête de Lacework, le plus grand risque de sécurité auquel les organisations sont confrontées est celui des« vulnérabilités dont nous ne sommes pas conscients ».
37 % des entreprises les ont désignées comme l’une de leurs deux principales priorités. La récente vulnérabilité de Log4jest un exemple probant de préparation à un événement de type « zero-day ».
La solution résiderait en partie dans l’automatisation le recours à l’IA car les approches traditionnelles ne sont plus adaptées. « La machine learning peut aider les entreprises à faire le tri dans le brouhaha », lit-on dans ce rapport.
Un tiers des entreprises déclarent avoir automatisé 61 % ou plus de leur sécurité du cloud. 54 % des entreprises déclarent qu’elles pourraient automatiser 61 % ou plus de leur sécurité du cloud.
76 % des personnes interrogées déclarent que « la machine learning a des applications pratiques dans le domaine de la sécurité du cloud » et qu’elles accueilleraient favorablement l’introduction de la machine learning dans leur environnement de sécurité.