Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité du Cloud : quelles tendances en 2017 ?

janvier 2017 par Rajiv Gupta, le fondateur et PDG de Skyhigh Networks


Rajiv Gupta, le fondateur et PDG de Skyhigh Networks, éditeur de solutions de sécurité des données dans les applications Cloud (« Cloud Access Security Broker » - CASB), fait le point sur les dernières tendances en matière de Cloud et formule ses prédictions pour 2016.

Comme chaque année, le grand jeu des prédictions des nouvelles tendances bat son plein. J’ai donc pris le parti de vous proposer quelques réflexions portant sur le marché du Cloud et celui de la sécurité en m’appuyant sur les dernières évolutions que j’ai pu constater.

Les menaces inhérentes à l’IoT obligeront les nations à s’engager dans la lutte internationale contre le piratage

Après les incidents qui ont frappé des infrastructures critiques en France, aux Etats-Unis et en Ukraine cette année, et face aux risques de piratage des machines de vote électroniques, les administrations de nombreux pays ont décidé de prendre le problème du cyberespionnage à bras-le-corps. Si les États-Unis ont réussi, par le biais de négociations diplomatiques à huis clos, à faire baisser le nombre d’attaques informatiques de la Chine à l’encontre des entreprises du secteur privé, le piratage des objets connectés représente un enjeu d’une tout autre ampleur. Sur le plan de la défense, l’Union européenne a adopté des dispositions législatives appelant à un minimum de mesures de cybersécurité pour protéger les infrastructures névralgiques, et les États-Unis devraient lui emboîter le pas en 2017.

Des réglementations strictes influent sur la politique de cybersécurité des entreprises

Les lois sur la protection de la vie privée des consommateurs sont censées avoir un effet dissuasif et sanctionner les négligences sécuritaires entraînant une violation de données. Or, jusqu’à présent, les organismes de réglementation semblent s’être bornés à de simples réprimandes. Sous l’impulsion de l’Europe et du nouveau règlement général sur la protection des données (GDPR), les autorités chargées de la protection des données redoublent de vigilance et revoient le montant des amendes à la hausse. L’importance des sanctions financières infligées fin 2016 pour violation de la réglementation HIPAA et des directives de l’UE relatives aux données à caractère personnel donnent le ton pour l’année à venir. Nul doute que l’entrée en vigueur du GDPR en 2018 incitera les entreprises internationales à instaurer des contrôles supplémentaires pour la protection de la confidentialité.

Les compromissions de données touchant des fournisseurs de services Cloud sensibilisent les entreprises aux risques de la « toile logistique ». Le Cloud a transformé la chaîne logistique traditionnelle en « toile logistique » où les partenaires commerciaux échangent des données via des passerelles numériques sur Internet. Une entreprise moyenne traite avec 1 555 partenaires commerciaux différents via des services Cloud, et 9,3 % des fichiers hébergés dans le Cloud et partagés avec l’extérieur contiennent des données sensibles. Dans la nouvelle économie du Cloud, les données passent entre les mains d’un nombre d’intervenants plus élevé que jamais. Une violation de données peut ainsi toucher le partenaire externe d’une entreprise dont le département informatique et le service Achats n’ont jamais entendu parler.

Restructuration des directions informatiques avec la promotion des RSSI

Avec l’avènement de la virtualisation, les technologies de l’information occupent une place tellement stratégique au sein de l’entreprise que les DSI endossent désormais le rôle de directeur de l’exploitation et de PDG. En 2017, la sécurité s’imposera en tant que moteur d’activité stratégique, aussi bien au niveau des systèmes internes que des produits. Aujourd’hui, toutes les entreprises utilisent des logiciels, ce qui fait qu’elles ont besoin de l’expertise de fournisseurs de sécurité logicielle. En 2017, la sécurité confirmera son rôle d’atout concurrentiel en aidant les RSSI à réduire les délais de commercialisation des produits, et à assurer la confidentialité des données des clients et des employés.

Microsoft réduira l’écart avec Amazon dans la guerre des offres IaaS

AWS s’est très vite imposé sur le marché de l’IaaS, mais Azure rattrape son retard. 35,8 % des nouvelles applications Cloud publiées au 4e trimestre ont été déployées dans AWS, contre 29,5 % dans Azure. Les fournisseurs spécialisés se sont taillé 14 % de parts de marché, indépendamment de marques telles que Google, Rackspace et Softlayer.

Qui protège les gardiens ? Une entreprise sera victime du premier incident de grande ampleur dans le Cloud lié au piratage d’un compte administrateur.
En fin d’année, des chercheurs ont, pour la première fois, découvert la mise en vente de mots de passe d’administrateurs Office 365 globaux sur le Dark Web. Les comptes administrateur représentent un risque particulier dans le sens où ils disposent de privilèges supérieurs en matière de consultation, de modification et de suppression des données. Les entreprises rencontrent en moyenne 3,3 menaces de sécurité liées à des utilisateurs privilégiés tous les mois. Nous devons par conséquent nous attendre à voir un incident de ce type faire la une des journaux en 2017.

Les pirates délaissent les mots de passe au profit de la propriété intellectuelle

Maintenant que les entreprises ont toute confiance dans le Cloud et se servent d’applications SaaS pour les plans de produits, les prévisions de ventes, etc., les cybercriminels disposent de données de plus grande valeur à cibler. 4,4 % des documents exploités dans les applications de partage de fichiers sont de nature confidentielle et concernent des enregistrements financiers, des plans prévisionnels d’activité, du code source, des algorithmes de trading, etc. Si le piratage de bases de données comme celles de Yahoo se distinguent par leur ampleur, les secrets industriels représentent une manne d’informations plus restreinte, mais néanmoins précieuse. Pour répondre aux inquiétudes sur la confidentialité des informations hébergées dans le Cloud, des fournisseurs tels que Box établissent une classification des données permettant d’identifier les ressources qui revêtent le plus de valeur pour les entreprises.

Projets Cloud : le meilleur moyen de faire décoller une carrière dans la sécurité informatique

Selon un rapport d’une société d’investissement, les produits de sécurité du Cloud sont en passe de supplanter le marché de la cybersécurité. Les premiers experts des technologies de sécurité du Cloud sont certains de booster leurs perspectives de carrière en acquérant une expérience très convoitée dans le pilotage de projets de sécurité du Cloud au niveau mondial. Une entreprise moyenne enregistre plus de 2,7 milliards d’événements Cloud par mois, dont seulement 23,2 constituent de véritables menaces. C’est pourquoi les entreprises qui migrent vers le Cloud ont besoin des services de professionnels de la sécurité informatique pour trier les fausses alertes et mettre en œuvre une sécurité à grande échelle.

Le nouveau paradigme de la sécurité : surveiller les données susceptibles d’être exfiltrées du Cloud plutôt que les tenir à l’écart du Cloud

Même les entreprises de secteurs réglementés, tels que la santé, téléchargent chaque mois plusieurs téraoctets de données dans le Cloud. Des sociétés qui s’évertuaient auparavant à tenir les informations sensibles éloignées du Cloud scrutent désormais d’un œil attentif toute fuite de données sensibles hébergées dans des applications Cloud. La clé du succès réside dans l’intégration de l’infrastructure de sécurité Cloud et sur site, une condition essentielle pour une application homogène des règles de conformité et de gouvernance à l’ensemble des applications.

Les entreprises se tournent vers les plus grands fournisseurs de services Cloud pour pouvoir se battre à armes égales avec les cybercriminels à la solde d’États-nations.

Une entreprise moyenne ne dispose pas de ressources suffisantes pour combattre les menaces persistantes avancées de groupes commandités par des États. Les fournisseurs de services Cloud emploient des professionnels de talent entièrement dédiés à la sécurité de leurs plates-formes. En externalisant la sécurité de l’infrastructure à des fournisseurs tels qu’Amazon, Microsoft ou autre, les entreprises bénéficient d’une puissance de feu supplémentaire pour se mesurer aux États-nations dans cette guerre cybernétique. Les fournisseurs de services Cloud proposent un ensemble complet d’API garantissant une protection avancée via des fonctions telles que le contrôle des activités.


Voir les articles précédents

    

Voir les articles suivants