L’un des plus grands challenges à l’adoption du Cloud au sein d’une entreprise est le manque de visibilité. Dans tous les secteurs d’activité, le stockage informatique et la protection des ressources sont en transition vers le Cloud. Cette tendance complexifie la visibilité de ces nouveaux environnements pour les responsables IT. Face à ce phénomène, certains opèrent une transition plus lente vers le Cloud, voir s’en tiennent à leurs habitudes, tandis que d’autres vont de l’avant sans hésiter.

« Malgré la prévalence évidente des incidents de sécurité survenant dans le Cloud, son adoption en entreprise se poursuit », commente Rajiv Gupta, senior vice president of the cloud security business unit chez McAfee. « En mettant en place des mesures de sécurité qui permettent aux entreprises de retrouver la visibilité et le contrôle de leurs données, les entreprises peuvent profiter de services innovants et accélérer leur activité avec une approche plus éclairée de la sécurité dans le Cloud. »

La confiance dans le Cloud en hausse

Plus de 90 % des répondants font davantage confiance au Cloud que l’an dernier, ce qui peut être le résultat d’une réflexion différente sur la sécurité dans cet environnement et de la prise de conscience des avantages d’une responsabilité partagée en matière de sécurité. Les clients du Cloud n’ont pas moins de responsabilités maintenant que leurs données y sont stockées, mais il y a plutôt une division logique des rôles, les fournisseurs de Cloud en assurent la sécurité et les clients gérent ce qu’ils y mettent. Dans ce contexte, 69 % des professionnels interrogés reconnaissent faire confiance au Cloud public pour assurer la sécurité de leurs données sensibles.

Des services Cloud quasi omniprésents

Quasiment toutes les entreprises ont engagées une démarche d’adoption du Cloud. Selon l’étude menée par McAfee, 97 % des professionnels IT du monde entier utilisent un certain type de service Cloud et travaillent simultanément aux questions liées à sa visibilité et à son contrôle.

La combinaison du Cloud public et du Cloud privé est l’architecture la plus populaire : 59 % des personnes interrogées déclarent utiliser à présent un modèle hybride. Alors que l’utilisation de Cloud privé seul est relativement similaire dans toutes tailles d’entreprises, l’usage de Cloud hybride croît progressivement avec l’effectif de l’organisation, passant de 54 % dans les entreprises comptant jusqu’à 1 000 employés, à 65 % dans celles de plus de 5 000 employés.

La plupart des entreprises ont une stratégie Cloud-First, mais leur volume est en légère baisse

Le Cloud-First est une stratégie de technologie de l’information qui stipule que les nouveaux projets devraient envisager d’utiliser d’abord la technologie Cloud plutôt que des serveurs ou des logiciels on-premise.

D’après le rapport de McAfee, le Cloud-First est la stratégie informatique privilégiée dans de nombreuses entreprises. Cependant, la prudence semble également avoir pris le dessus : le nombre d’entreprises ayant adoptées une stratégie Cloud-First a chuté de 82 % à 65 % cette année.

Par rapport aux entreprises qui n’en ont pas, celles qui déclarent avoir une stratégie Cloud-First sont deux fois plus susceptibles de détecter un incident malveillant depuis le contenu d’une application Cloud comme Dropbox ou Office 365. Elles sont aussi plus susceptibles d’avoir déjà rencontré des problèmes d’infrastructure décrits dans le rapport sur leur Infrastructure-as-a-Service (IaaS) ou Software-as-a-Service (SaaS).

En dépit des incidents de sécurité révélés, les répondants qui ont une stratégie Cloud-First pensent toujours que le Cloud public est plus sûr que le Cloud privé. Ils comprennent les risques, et pourtant les professionnels de l’informatique demeurent confiants sur le fait que la stratégie Cloud-First est celle qu’ils veulent adopter.

Les données sensibles stockées dans le Cloud

La majorité des entreprises stockent une partie ou la totalité de leurs données sensibles dans le Cloud public. Seules 16 % déclarent qu’elles ne stockent aucune donnée sensible dans le Cloud. Les entreprises interrogées reconnaissent y stocker des informations critiques/sensibles et confidentielles de type :
• Les renseignements personnels sur les clients (61 %)
• Les documents internes, les informations sur les cartes de paiement, les données personnelles des collaborateurs ou des données d’identification du gouvernement (40 %),
• Les documents liés à la propriété intellectuelle, les dossiers de santé, la veille concurrentielle et les cartes réseau dans le Cloud (environ 30 %).
Gérer le risque du stockage de données sensibles dans le Cloud, c’est s’assurer que l’entreprise dispose d’une visibilité sur ce qui est mis dans le Cloud. L’accent mis sur la gouvernance et les étapes technologiques fondamentales, comme l’obligation pour les ministères et le personnel de participer à l’identification, à la classification et à la reddition de comptes des ressources, contribue à accroître la visibilité. L’intégration de la prévention de pertes de données avec les fournisseurs de Cloud, y compris l’utilisation de CASB (Cloud Access Security Brokers), la classification manuelle ou automatisée des données et d’autres étapes technologiques, contribueront à réduire le risque de flux d’informations sensibles vers et à travers les services Cloud.

Les incidents de sécurité sont encore très répandus

En effet, une entreprise sur quatre qui utilise du IaaS ou du SaaS s’est déjà fait voler des données, et une sur cinq a déjà été victime d’une attaque avancée contre son infrastructure de Cloud public. Les entreprises intensifient leurs efforts pour être en conformité au Règlement Général sur la Protection des Données (RGPD) dont l’échéance est fixée au 25 mai prochain. Dans ce contexte, celles qui ont le plus confiance en leur fournisseur de Cloud sont les plus susceptibles de prévoir une augmentation de leurs investissements globaux dans le Cloud au cours de l’année à venir. Tandis que celles qui sont le moins confiantes prévoient de maintenir leurs investissements au niveau actuel. En moyenne, moins de 10 % des entreprises interrogées prévoit une diminution de leurs investissements dans le Cloud en raison du RGPD.

Les malwares sont toujours une préoccupation pour les d’entreprises. Au cours des deux dernières années, plus de la moitié des professionnels interrogés (56 %) ont déclaré avoir déjà remonté une infection par malware vers une application Cloud. Interrogés sur la manière dont le malware avait infecté l’entreprise, une majorité (25 %) déclare que c’est par phishing. Parmi les méthodes utilisées citées figurent également les courriels émanant d’expéditeur connu, les téléchargements involontaires et les téléchargements par des malwares existants.

Une diminution de la pénurie de compétences

La pénurie de compétences en matière de cybersécurité et son impact sur l’adoption de l’informatique dans le Cloud continue de diminuer. Le manque de compétences dans ce domaine n’est plus un frein au choix du Cloud, pour 24 % des personnes interrogées en 2017 (VS 15 % l’an passé). Parmi celles qui font encore état d’une telle pénurie, seules 40 % admettent avoir ralenti leur adoption du Cloud cette année, contre 49 % l’an dernier. Les taux d’adoption du Cloud sont les plus élevés chez ceux qui signalent les pénuries de compétences les plus importantes.

Les bonnes pratiques en matière de Cloud

Les conclusions de l’étude « Navigating a Cloudy Sky » de McAfee permettent d’établir trois best practices auxquelles toutes les entreprises devraient s’employer activement :

1. Il a été démontré que le DevOps et le DevSecOps améliorent la qualité du code et réduisent les exploits et les vulnérabilités. L’intégration des processus de développement, d’assurance qualité et de sécurité au sein de l’unité commerciale ou de l’équipe en charge des applications est cruciale pour fonctionner à la vitesse requise par le marché aujourd’hui.
2. Même les professionnels de la sécurité les plus expérimentés ont du mal à suivre le volume et le rythme des déploiements dans le Cloud. L’automatisation qui allie et augmente le savoir-faire humain à celui des machines est une composante fondamentale des opérations informatiques modernes ; tels que Chef, Puppet ou Ansible.
3. L’unification de la sécurité grâce à une gestion centralisée de tous les services et fournisseurs de Cloud est requise. La multiplicité des outils de gestion rend la tâche trop facile pour que quelque chose puisse s’y glisser. Un système de gestion unifié sur plusieurs Cloud avec un tissu d’intégration ouvert permet de réduire la complexité.