La sécurité des données fait aujourd’hui apparaître de nouvelles craintes et un manque de confiance croissant des professionnels de l’IT, d’après le « Cloud threat report 2020 », troisième rapport annuel d'Oracle et KPMG sur la sécurité dans le cloud.
L'étude menée auprès de 750 professionnels de la cyber-sécurité et de l'informatique en France et dans le monde entier révèle une crise de confiance due à une approche fragmentée de la sécurité des données, à des services mal configurés et à la confusion qui règne sur les nouveaux modèles de sécurité dans le cloud ; cette situation ne pourra être résolue que si les organisations intègrent la sécurité à leur culture d’entreprise.
Quand la sécurité des données provoque des insomnies chez les professionnels de l’IT
Cette étude met en lumière certaines peurs ressenties par les professionnels de l’IT qui craignent plus pour la sécurité des données de leur entreprise que pour la sécurité de leur propre foyer.
● Ils sont en effet trois fois plus préoccupés par la sécurité des données financières et la protection de la propriété intellectuelle de leur entreprise que par la sécurité de leur domicile.
● Les professionnels de l’IT se méfient des fournisseurs de services cloud ; 80% d'entre eux craignent que ceux avec lesquels ils traitent ne deviennent des concurrents sur leurs propres marchés.
● 75% des professionnels de l’IT considèrent le cloud public comme étant mieux sécurisé que leurs propres datacenters. Pourtant, 92% d’entre eux ne pensent pas que leur entreprise soit bien préparée pour adopter correctement les services du cloud public.
● Près de 80% des professionnels de l’IT déclarent que les récentes fuites de données qu’ont subi d'autres entreprises ont amené leur organisation à se focaliser davantage sur la sécurité de leurs données.
Une protection des données héritée des anciens modèles de sécurité devenue inadaptée
Les professionnels de l’IT utilisent un ensemble de solutions de cyber-sécurité pour tenter de résoudre les problèmes liés à la sécurité de leurs données. Cependant, ils restent constamment confrontés à de nouvelles failles de sécurité car les systèmes en place sont très souvent mal configurés.
● 78% des entreprises utilisent plus de 50 solutions de cyber-sécurité distinctes pour prévenir les problèmes liés à la sécurité ; 37% en utilisent plus de 100.
● Les entreprises qui ont découvert des failles dans la configuration de leurs services cloud ont, en moyenne, été confrontés à 10 incidents impliquant des pertes de données au cours de l'année précédente.
● 59% des entreprises ont déclaré que les employés ayant des comptes cloud à accès privilégiés ont été victimes d’attaques informatiques comme le phishing.
● Parmi les mauvaises configurations les plus courantes, on trouve :
Des comptes avec des accès privilégiés superflus (37%)
Des serveurs web exposés et d’autres serveurs dont les flux sont saturés (35%)
Une absence d'authentifications multiples pour accéder aux services clés (33%)
Des changements de responsabilité générateurs de confusions et de failles de sécurité
Alors que les entreprises transfèrent plus que jamais des charges de travail critiques vers le cloud, cette forte croissante de la consommation de cloud a créé des zones d’ombres avec des équipes IT et des fournisseurs de services cloud qui cherchent à comprendre leur degré de responsabilité quant à la sécurité des données. Cette confusion a laissé les équipes de sécurité IT dans le flou alors qu’elles doivent affronter un environnement de plus en plus menaçant.
● Près de 90% des entreprises utilisent des logiciels en mode SaaS (Software as a Service) et 76% utilisent aujourd'hui du IaaS (Infrastructure as a Service) ; 50% prévoient de transférer toutes leurs données vers le cloud d’ici deux ans.
● Les modèles de sécurité à responsabilité partagée sont source de confusion ; seuls 8% des responsables sécurité informatique déclarent comprendre parfaitement le modèle de sécurité à responsabilité partagée.
● 70% des professionnels de l’IT estiment que trop d'outils spécialisés sont nécessaires pour sécuriser leur empreinte dans le cloud public.
● 75% des professionnels de l’IT ont subi une perte de données à plus d’une reprise dans le cadre d'un service cloud.
Le temps est venu de construire un modèle basé sur la sécurité
Pour répondre aux préoccupations croissantes liées à la sécurité des données et aux problèmes de confiance, les fournisseurs de services cloud et les équipes IT doivent travailler conjointement pour créer une culture où la sécurité constituerait la priorité.
Cela implique de recruter, former et retenir des professionnels de la sécurité informatique qualifiés et d'améliorer constamment les processus et les technologies, afin d'atténuer les menaces inhérentes à une société qui se numérise de plus en plus.
● 69% des entreprises déclarent que leur Directeur de la sécurité informatique (Chief Information Security Officer, « CISO ») n’intervient et ne s'implique dans des projets cloud public que lorsqu’un incident de cyber-sécurité s'est produit.
● 73% des entreprises ont prévu de recruter un CISO ayant davantage de compétences en matière de sécurité cloud ; plus de la moitié des organisations (53%) ont créé une nouvelle fonction, celle de « Business Information Security Officer » (BISO), pour travailler avec le CISO afin de créer une véritable culture de la sécurité au sein de l’entreprise.
● 88% des professionnels de l’IT estiment que dans les trois années à venir, la majorité de leur solution de cloud sera basée sur des systèmes intelligents qui proposeront des patchs et des mises à jour automatiques pour améliorer la sécurité.
● 87% des professionnels de l’IT considèrent les solutions d’IA et de Machine Learning comme indispensables dans leurs prochains investissements liés à la sécurité afin de mieux se protéger contre la fraude, les logiciels malveillants et les problèmes de mauvaises configurations informatiques.
Citations :
« Le transfert d'informations critiques vers le cloud au cours des deux dernières années s'est avéré très prometteur, mais l’assemblage effrayant de nombreux outils et de divers processus de sécurité a entraîné à la fois des coûts pour venir à bout des erreurs de configuration mais également des fuites de données. Des progrès sont malgré tout à souligner », déclare Steve Daheb, Senior Vice President, Oracle Cloud. « L'adoption d'outils s’appuyant sur l'automatisation intelligente pour combler les déficits de compétences fait pleinement partie des dépenses informatiques stratégiques en cours et à venir. Les dirigeants d’entreprise travaillent actuellement à coordonner les différents métiers avec à l’esprit la mise en place au tout premier plan d’une culture de la sécurité ».
« Afin de répondre aux défis rencontrés dans le contexte actuel, les entreprises accélèrent la migration vers le cloud de leurs charges de travail et de leurs données sensibles afin de soutenir une nouvelle organisation du travail et d’optimiser les modèles de coûts. Cela expose les vulnérabilités existantes et crée de nouveaux risques », déclare Tony Buffomante, Global Co-Leader and US Leader de KPMG LLP Cyber Security Services. « Pour être en mesure de gérer ce niveau de menace accru dans cette nouvelle réalité qui est la nôtre, il est essentiel que les CISO intègrent la sécurité dès la conception de leurs stratégies de migration et d’exploitation du cloud, avec une communication régulière avec l'entreprise ».
Le rapport de cette année est le premier d'une série en 5 parties ; les prochains viseront à offrir un aperçu des résultats issus des recherches autour de la sécurité dans le cloud notamment :
● La démystification du modèle de responsabilité partagée de la sécurité dans le cloud
● L'impact commercial de la fuite des données
● La lutte contre les cyber-risques et la fraude dans le cloud
● La mission d’un CISO focalisé sur le cloud
L'étude menée auprès de 750 professionnels de la cyber-sécurité et de l'informatique en France et dans le monde entier révèle une crise de confiance due à une approche fragmentée de la sécurité des données, à des services mal configurés et à la confusion qui règne sur les nouveaux modèles de sécurité dans le cloud ; cette situation ne pourra être résolue que si les organisations intègrent la sécurité à leur culture d’entreprise.
Quand la sécurité des données provoque des insomnies chez les professionnels de l’IT
Cette étude met en lumière certaines peurs ressenties par les professionnels de l’IT qui craignent plus pour la sécurité des données de leur entreprise que pour la sécurité de leur propre foyer.
● Ils sont en effet trois fois plus préoccupés par la sécurité des données financières et la protection de la propriété intellectuelle de leur entreprise que par la sécurité de leur domicile.
● Les professionnels de l’IT se méfient des fournisseurs de services cloud ; 80% d'entre eux craignent que ceux avec lesquels ils traitent ne deviennent des concurrents sur leurs propres marchés.
● 75% des professionnels de l’IT considèrent le cloud public comme étant mieux sécurisé que leurs propres datacenters. Pourtant, 92% d’entre eux ne pensent pas que leur entreprise soit bien préparée pour adopter correctement les services du cloud public.
● Près de 80% des professionnels de l’IT déclarent que les récentes fuites de données qu’ont subi d'autres entreprises ont amené leur organisation à se focaliser davantage sur la sécurité de leurs données.
Une protection des données héritée des anciens modèles de sécurité devenue inadaptée
Les professionnels de l’IT utilisent un ensemble de solutions de cyber-sécurité pour tenter de résoudre les problèmes liés à la sécurité de leurs données. Cependant, ils restent constamment confrontés à de nouvelles failles de sécurité car les systèmes en place sont très souvent mal configurés.
● 78% des entreprises utilisent plus de 50 solutions de cyber-sécurité distinctes pour prévenir les problèmes liés à la sécurité ; 37% en utilisent plus de 100.
● Les entreprises qui ont découvert des failles dans la configuration de leurs services cloud ont, en moyenne, été confrontés à 10 incidents impliquant des pertes de données au cours de l'année précédente.
● 59% des entreprises ont déclaré que les employés ayant des comptes cloud à accès privilégiés ont été victimes d’attaques informatiques comme le phishing.
● Parmi les mauvaises configurations les plus courantes, on trouve :
Des comptes avec des accès privilégiés superflus (37%)
Des serveurs web exposés et d’autres serveurs dont les flux sont saturés (35%)
Une absence d'authentifications multiples pour accéder aux services clés (33%)
Des changements de responsabilité générateurs de confusions et de failles de sécurité
Alors que les entreprises transfèrent plus que jamais des charges de travail critiques vers le cloud, cette forte croissante de la consommation de cloud a créé des zones d’ombres avec des équipes IT et des fournisseurs de services cloud qui cherchent à comprendre leur degré de responsabilité quant à la sécurité des données. Cette confusion a laissé les équipes de sécurité IT dans le flou alors qu’elles doivent affronter un environnement de plus en plus menaçant.
● Près de 90% des entreprises utilisent des logiciels en mode SaaS (Software as a Service) et 76% utilisent aujourd'hui du IaaS (Infrastructure as a Service) ; 50% prévoient de transférer toutes leurs données vers le cloud d’ici deux ans.
● Les modèles de sécurité à responsabilité partagée sont source de confusion ; seuls 8% des responsables sécurité informatique déclarent comprendre parfaitement le modèle de sécurité à responsabilité partagée.
● 70% des professionnels de l’IT estiment que trop d'outils spécialisés sont nécessaires pour sécuriser leur empreinte dans le cloud public.
● 75% des professionnels de l’IT ont subi une perte de données à plus d’une reprise dans le cadre d'un service cloud.
Le temps est venu de construire un modèle basé sur la sécurité
Pour répondre aux préoccupations croissantes liées à la sécurité des données et aux problèmes de confiance, les fournisseurs de services cloud et les équipes IT doivent travailler conjointement pour créer une culture où la sécurité constituerait la priorité.
Cela implique de recruter, former et retenir des professionnels de la sécurité informatique qualifiés et d'améliorer constamment les processus et les technologies, afin d'atténuer les menaces inhérentes à une société qui se numérise de plus en plus.
● 69% des entreprises déclarent que leur Directeur de la sécurité informatique (Chief Information Security Officer, « CISO ») n’intervient et ne s'implique dans des projets cloud public que lorsqu’un incident de cyber-sécurité s'est produit.
● 73% des entreprises ont prévu de recruter un CISO ayant davantage de compétences en matière de sécurité cloud ; plus de la moitié des organisations (53%) ont créé une nouvelle fonction, celle de « Business Information Security Officer » (BISO), pour travailler avec le CISO afin de créer une véritable culture de la sécurité au sein de l’entreprise.
● 88% des professionnels de l’IT estiment que dans les trois années à venir, la majorité de leur solution de cloud sera basée sur des systèmes intelligents qui proposeront des patchs et des mises à jour automatiques pour améliorer la sécurité.
● 87% des professionnels de l’IT considèrent les solutions d’IA et de Machine Learning comme indispensables dans leurs prochains investissements liés à la sécurité afin de mieux se protéger contre la fraude, les logiciels malveillants et les problèmes de mauvaises configurations informatiques.
Citations :
« Le transfert d'informations critiques vers le cloud au cours des deux dernières années s'est avéré très prometteur, mais l’assemblage effrayant de nombreux outils et de divers processus de sécurité a entraîné à la fois des coûts pour venir à bout des erreurs de configuration mais également des fuites de données. Des progrès sont malgré tout à souligner », déclare Steve Daheb, Senior Vice President, Oracle Cloud. « L'adoption d'outils s’appuyant sur l'automatisation intelligente pour combler les déficits de compétences fait pleinement partie des dépenses informatiques stratégiques en cours et à venir. Les dirigeants d’entreprise travaillent actuellement à coordonner les différents métiers avec à l’esprit la mise en place au tout premier plan d’une culture de la sécurité ».
« Afin de répondre aux défis rencontrés dans le contexte actuel, les entreprises accélèrent la migration vers le cloud de leurs charges de travail et de leurs données sensibles afin de soutenir une nouvelle organisation du travail et d’optimiser les modèles de coûts. Cela expose les vulnérabilités existantes et crée de nouveaux risques », déclare Tony Buffomante, Global Co-Leader and US Leader de KPMG LLP Cyber Security Services. « Pour être en mesure de gérer ce niveau de menace accru dans cette nouvelle réalité qui est la nôtre, il est essentiel que les CISO intègrent la sécurité dès la conception de leurs stratégies de migration et d’exploitation du cloud, avec une communication régulière avec l'entreprise ».
Le rapport de cette année est le premier d'une série en 5 parties ; les prochains viseront à offrir un aperçu des résultats issus des recherches autour de la sécurité dans le cloud notamment :
● La démystification du modèle de responsabilité partagée de la sécurité dans le cloud
● L'impact commercial de la fuite des données
● La lutte contre les cyber-risques et la fraude dans le cloud
● La mission d’un CISO focalisé sur le cloud
Autres articles
-
Partout en Europe, des entreprises adoptent Oracle EU Sovereign Cloud pour gérer leurs données stratégiques
-
Oracle et Palantir unissent leurs forces pour fournir des solutions d'IA stratégiques aux gouvernements et aux entreprises
-
Oracle présente Exadata Exascale : la seule architecture de données intelligente au monde pour le cloud
-
Oracle Autonomous Database est désormais disponible sur Oracle Database@Azure
-
OpenAI choisit Oracle Cloud Infrastructure pour renforcer la plateforme d'IA de Microsoft Azure