Dans son édition 2019, le rapport Oracle-KPMG sur les menaces qui pèsent sur le cloud revient sur les principaux enjeux de cybersécurité associés aux infrastructures dans le nuage, et sur les politiques à mettre en œuvre pour les adresser.

Les services cloud sont aujourd’hui au cœur de bien des systèmes d’information, adoptés par un nombre de plus en plus vaste d’entreprises. En raison de cette place croissante, assurer la sécurité du cloud devient un enjeu majeur pour les organisations. Un rapport d’Oracle et KPMG s’est penché sur les principaux risques associés au cloud et sur les stratégies à mettre en place pour pallier ces menaces.

Premier constat, 7 entreprises sur 10 indiquent avoir des applications critiques sur le cloud. A l’heure actuelle, des applications cloud existent en effet pour pratiquement toutes les grandes fonctions des entreprises. En outre, 71% des organisations hébergent des données sensibles dans le cloud public. La mise en place d’une sécurité adaptée au cloud devient donc une nécessité absolue.

La visibilité, un enjeu à multiples niveaux pour les RSSI

La visibilité reste l’un des principaux challenges en matière de sécurité du cloud. Confier la gestion de l’infrastructure à une tierce partie peut créer un déficit de visibilité, et les contrôles de sécurité existants, basés sur le réseau, sont inadaptés pour répondre à cet enjeu.

Les politiques de sécurité existantes doivent être étendues pour tenir compte des usages mobiles. De plus en plus d’employés accèdent à la fois aux applications cloud et on-premise depuis des terminaux mobiles, ce qui implique de réévaluer les risques et l’exposition aux menaces.

Le Shadow IT perdure : 93% des organisations sont ainsi confrontées au problème. L’adoption de solutions SaaS directement par les métiers est généralement guidée par le besoin d’aller vite : elle n’est donc pas prête de diminuer, malgré les tentatives d’en réguler l’usage à travers des dispositifs de contrôle.

Les RSSI sont encore trop souvent peu sollicités sur les questions de sécurité associées au cloud. L’adoption décentralisée de solutions cloud par différents métiers, qui ne passent pas par les étapes de validation habituelles, génère un manque de visibilité pour le département en charge de la cybersécurité.

De nouveaux outils et technologies pour améliorer la cybersécurité

La mise en œuvre d’outils d’automatisation intelligents pour appliquer les correctifs s’accroît, avec 45% de répondants prévoyant de déployer ce type de solutions dans les mois à venir Ceci améliorer la protection des systèmes, qui sont vulnérables quand les exploits ne sont pas corrigés à temps.

Les mots de passe appartiennent de plus en plus au passé. De plus en plus d’organisations adoptent d’autres méthodes d’authentification (code envoyé par SMS, reconnaissance faciale ou d’empreintes, jetons SecurID, etc.). Ces nouvelles solutions limitent également les frictions liées aux authentifications multifactorielles, en ne demandant une authentification secondaire que dans certaines conditions correspondant aux usages suspects.

53% des organisations utilisent d’ores et déjà le Machine Learning pour améliorer l’analyse et le tri des événements de sécurité. Celui-ci permet à la fois de rendre ces tâches plus pertinentes et de pouvoir les mener sur plus large échelle, un prérequis avec la multiplication des applications cloud : en effet, actuellement seule 1 organisation sur 10 parvient à analyser plus de 75% des événements qui sont remontés.

Source : Cloud Threat report 2019, Oracle-KPMG 

AUCUN COMMENTAIRE