Alors que des entreprises de toutes tailles transfèrent toujours davantage d’opérations vers le cloud, une majorité d’entre elles ont bien du mal à automatiser la sécurité cloud et surtout à limiter les risques. C’est l’une des raisons pour lesquelles nombre d’acteurs s’efforcent d’améliorer la sécurité plus tôt dans le processus de développement, et de privilégier un nombre restreint d’éditeurs capables de proposer davantage de fonctionnalités de sécurité.

Ce qu’il faut retenir

L’usage du cloud s’est amplifié, et les enjeux de sécurité aussi – Le développement du travail hybride durant la pandémie a conduit les entreprises à accroître de plus de 25 % leur utilisation des clouds. En conséquence, les équipes DevOps sont tenues de livrer le code en production en un temps record, rendant la sécurité applicative plus complexe et obligeant les équipes sécurité à progresser au même rythme.

La plupart des entreprises sont lentes à détecter les menaces et à y répondre – 90 % des professionnels sondés admettent que leurs entreprises sont incapables de détecter, juguler et remédier aux cybermenaces en moins d’une heure. Une majorité d’entre eux font état d’une posture de sécurité fragile, qu’ils estiment devoir renforcer en améliorant leurs activités sous-jacentes de diverses manières : en gagnant en visibilité sur les multiples clouds, en appliquant une gouvernance plus cohérente sur l’ensemble des comptes, et en rationalisant les investigations et la réponse aux incidents.

Les équipes ne prennent pas la mesure de leurs responsabilités en matière de sécurité – Interrogés sur les enjeux que soulève une migration vers le cloud, les participants à l’enquête nourrissent les mêmes inquiétudes que celles que nous avions relevées dans notre rapport en 2020 : la sécurité intégrée, la conformité et la complexité technique leur donnent du fil à retordre. Si une grande majorité (78 %) de ces responsables affirment avoir réparti les responsabilités en matière de sécurité cloud entre différentes équipes, ils sont près de la moitié (47 %) à estimer que ces collaborateurs ne prennent majoritairement pas la mesure des responsabilités qui leur incombent dans ce domaine.

Un besoin accru de sécurisation, du code au cloud – Alors que de plus en plus d’applications sont créées dans le cloud au moyen de logiciels standard, il est à craindre qu’une vulnérabilité dans le processus de développement compromette par la suite une application toute entière. C’est la raison pour laquelle beaucoup d’entreprises invitent à renforcer le degré d’interactions entre les développeurs d’applications et les outils et équipes de sécurité ; 81 % des responsables interrogés admettent d’ailleurs avoir intégré des professionnels de la sécurité au sein de leurs équipes DevOps.

« Puisque trois entreprises sur quatre déploient du code, nouveau ou actualisé, en production chaque semaine, et que près de 40 % d’entre elles valident un nouveau code chaque jour, aucune ne peut se permettre de négliger la sécurité des workloads cloud »,fait observer Ankur Shah, senior vice president en charge de Prisma Cloud chez Palo Alto Networks. « À mesure que l’essor du cloud se poursuit, les entreprises doivent adopter une approche orientée plateforme qui sécurise les applications du code au cloud dans les environnements multicloud. »

Une démarche d’unification – 75% des responsables interrogés indiquent éprouver des difficultés à choisir les outils de sécurité indispensables à la réalisation de leurs objectifs. Ce qui a conduit nombre d’entre eux à multiplier les solutions spécifiques, une entreprise utilisant en moyenne plus d’une trentaine d’outils de sécurité, dont de six à dix dédiés à la sécurité cloud.

Ce nombre important d’outils de sécurité complique la tâche des responsables, privés de visibilité détaillée sur l’intégralité de leur offre cloud. 76 % des participants à l’enquête indiquent que l’utilisation de multiples outils de sécurité crée des angles morts altérant leur capacité à prioriser les risques et à faire obstacle aux menaces. Et 80 % affirment qu’ils auraient tout à gagner avec une solution de sécurité centralisée, régissant la totalité de leurs comptes et services cloud.

Une voie toute tracée – Malgré les chamboulements occasionnés par la pandémie, les entreprises ont, pour la plupart, réussi leurs développements cloud, et celles qui ont fait de l’infrastructure cloud une priorité stratégique se sont révélées, en règle générale, plus performantes. La sécurité cloud est donc clairement un activateur de résultats pour l’entreprise.

Bien évidemment, une sécurité renforcée n’est pas un gage de succès. Mais maîtriser la sécurité (en regroupant les outils et les éditeurs, et en recourant à des stratégies DevSecOps et d’automatisation éprouvées), c’est permettre aux équipes de développement de mieux faire leur travail, et doter les entreprises des outils indispensables à leur réussite.

À propos de l’enquête

Cette enquête a été réalisée en ligne par Palo Alto Networks, et les données ont été collectées du 21 novembre 2022 au 14 décembre 2022. Les participants sont issus des principaux marchés mondiaux : France, États-Unis, Australie, Allemagne, Royaume-Uni, Singapour et Japon. Plus des deux tiers travaillent dans de grandes entreprises (réalisant plus d’un milliard de dollars de chiffre d’affaires annuel), et les deux extrémités du spectre organisationnel sont représentées, des dirigeants aux fonctions plus spécialisées, afin de mieux connaître les ressentis dans l’ensemble des structures.