Selon une étude de Venafi, société spécialisée dans la cybersécurité, 81 % des entreprises déclarent avoir subi un incident de sécurité dans le cloud au cours de l'année écoulée. Mais qui doit gérer la sécurité du cloud ?

Cette étude a cherché à mettre en évidence le risque opérationnel accru causé par les entreprises qui migrent un plus grand nombre de leurs applications vers le cloud en raison de la complexité des environnements natifs du cloud.

Pour ses recherches, Venafi a interrogé 1 101 décideurs en matière de sécurité dans des entreprises de plus de 1 000 employés. Un quart travaille dans des entreprises de plus de 10 000 employés.

Selon cette enquête, les entreprises interrogées hébergent actuellement 41 % de leurs applications sur le cloud. Ce pourcentage devrait passer à 57 % au cours des 18 prochains mois. Le besoin d'une sécurité robuste dans le cloud augmentera donc également...  

Cyberattaquants ciblant le cloud

Cette étude souligne qu'une majorité des entreprises estiment que la sécurité des applications dans le cloud doit être une responsabilité partagée entre les équipes.

Avec la complexité créée par le cloud, les identités des machines sont devenues un terrain de chasse idéal pour les cyberattaquants ciblant le cloud. Chaque conteneur - y compris le cluster Kubernetes et les microservices - a besoin d'une identité de machine authentifiée pour communiquer en toute sécurité, comme un certificat TLS.

Logiquement, les risques sécuritaires et opérationnels augmentent considérablement si l'une d'elles est compromise ou mal configurée. D’où la nécessité de renforcer l’observabilité.

Les recherches de Venafi ont également révélé qu'il n'existe pas de norme industrielle claire pour laquelle l'équipe interne est actuellement responsable de la sécurisation du cloud.

Le plus souvent, cette tâche incombe à des équipes de sécurité de l'entreprise (25 %), suivies des équipes d'exploitation responsables de l'infrastructure du cloud (23 %), d'un effort de collaboration partagé entre plusieurs équipes (22 %), des développeurs rédigeant des applications cloud (16 %) et des équipes DevSecOps (10 %).  

Responsable de la sécurisation du cloud

Il n'y a pas non plus de consensus clair parmi les décideurs en matière de sécurité quant à savoir qui doit être responsable de la sécurisation du cloud. Les équipes d'exploitation de l'infrastructure du cloud et les équipes de sécurité de l'entreprise (24 % chacune) sont parmi les plus populaires, suivies par le partage de la responsabilité entre plusieurs équipes (22 %), les développeurs écrivant des applications de cloud (16 %) et les équipes DevSecOps (14 %).

En conclusion, les nouvelles approches de la sécurité doivent faire appel à un plan de contrôle pour intégrer la gestion de l'identité des machines dans les charges de travail des développeurs, ce qui permet aux équipes de protéger l'entreprise sans ralentir la production.