Entre complexité, flou et incompréhension, les professionnels IT se montrent plus inquiets pour la sécurité des données de leur environnement professionnel que personnel. L’Étude Oracle/KPMG « Cloud threat report 2020 » pointe un manque de confiance croissant…
Près de 90 % des entreprises utilisent des logiciels en mode SaaS (Software as a Service) et 76 % utilisent aujourd'hui du IaaS (Infrastructure as a Service). La moitié prévoient de transférer toutes leurs données vers le cloud d’ici deux ans.
Le cloud devient la norme. Mais il reste encore une menace fantôme. Menée auprès de 750 professionnels de la cybersécurité et de l'informatique en France et dans le monde entier, cette étude révèle en effet une crise de confiance due à une approche fragmentée de la sécurité des données, à des services mal configurés et à la confusion qui règne sur les nouveaux modèles de sécurité dans le cloud.
Les professionnels de l’IT déclarent être trois fois plus préoccupés par la sécurité des données financières et de la propriété intellectuelle de leur entreprise que par celle de leur propre foyer.
Selon les auteurs de ce troisième rapport annuel d'Oracle et KPMG sur la sécurité dans le cloud, cette situation ne pourra être résolue que si les organisations intègrent la sécurité à leur culture d’entreprise.
Dans le détail, on apprend que :
- 78 % des entreprises utilisent plus de 50 solutions de cybersécurité distinctes pour prévenir les problèmes de sécurité. Plus d’un tiers (37 %) en utilisent plus de 100 !
- Les entreprises qui ont détecté des défauts de configuration dans leurs services cloud ont connu au moins 10 incidents de perte de données au cours de l'année écoulée ;
- Seuls 8 % des responsables sécurité informatique (RSI) déclarent comprendre parfaitement le modèle de sécurité à responsabilité partagée des services cloud. Alors que les entreprises transfèrent plus que jamais des charges de travail critiques vers le cloud, cette forte croissante de la consommation de cloud a créé des zones d’ombres avec des équipes IT et des fournisseurs de services cloud qui cherchent à comprendre leur degré de responsabilité quant à la sécurité des données ;
- 59 % des entreprises ont déclaré que les employés ayant des comptes cloud à accès privilégiés ont été victimes d’attaques informatiques comme le phishing ;
- 87 % des professionnels de l’IT considèrent l’Intelligence artificielle et le Machine Learning comme des investissements technologiques essentiels pour la sécurité de leur entreprise : lutte contre la fraude, détection de logiciels malveillants, mauvaises configurations informatiques...
Cette troisième étude met en lumière certaines peurs ressenties par les professionnels de l’IT. En particulier, ils craignent plus pour la sécurité des données de leur entreprise que pour la sécurité de leur propre foyer.
Les professionnels de l’IT se méfient des fournisseurs de services cloud ; 80 % d'entre eux craignent que ceux avec lesquels ils traitent ne deviennent des concurrents sur leurs propres marchés.
Une forte majorité (75 %) considère le cloud public comme étant mieux sécurisé que leurs propres datacenters. Pourtant, 92 % d’entre eux ne pensent pas que leur entreprise soit bien préparée pour adopter correctement les services du cloud public.
Près de 80 % des professionnels de l’IT déclarent que les récentes fuites de données qu’ont subi d'autres entreprises ont amené leur organisation à se focaliser davantage sur la sécurité de leurs données.
L’origine de ces inquiétudes repose en partie sur le maintien d’anciens modèles de sécurité qui sont devenus inadaptés car les systèmes en place sont très souvent mal configurés. Résultat, ils restent constamment confrontés à de nouvelles failles de sécurité.
Parmi les mauvaises configurations les plus courantes, on trouve :
- Des comptes avec des accès privilégiés superflus (37 %) ;
- Des serveurs web exposés et d’autres serveurs dont les flux sont saturés (35 %) ;
- Une absence d'authentifications multiples pour accéder aux services clés (33 %).
Pour répondre aux préoccupations croissantes liées à la sécurité des données et aux problèmes de confiance, les fournisseurs de services cloud et les équipes IT doivent travailler conjointement pour créer une culture où la sécurité constituerait la priorité.
Cela implique de recruter, former et retenir des professionnels de la sécurité informatique qualifiés et d'améliorer constamment les processus et les technologies, afin d'atténuer les menaces inhérentes à une société qui se numérise de plus en plus.
Source: Oracle/KPMG