septembre 2022 par Snyk

Snyk dévoile son rapport sur l’état de la sécurité du cloud. Il explique notamment comment les professionnels de la sécurité et les ingénieurs de la sécurité du cloud font face aux nouveaux risques et défis complexes de la sécurité découlant de l’adoption rapide du cloud et du développement croissant d’applications cloud-natives.

Le rapport présente également les avantages possibles en cas de renforcement des investissements dans la sécurité du cloud tels qu’une meilleure prévention des incidents et une collaboration plus efficace entre les équipes permettant d’accélérer le déploiement des applications.

Voici quelques chiffres clés du rapport :

• 80 % des organisations ont connu au moins un grave incident de sécurité du cloud en 2022, comme par exemple une violation ou une fuite de données ou encore des intrusions dans leur environnement.

• 41 % des interrogés déclarent que les services natifs du cloud sont plus complexes et compliquent la garantie de la sécurité.

• Près de la moitié (49 %) des organisations estiment que le déploiement est plus rapide grâce à l’amélioration de la sécurité du cloud.

"Cette nouvelle étude doit servir de signal d’alarme pour l’industrie : les risques de sécurité du cloud sont universels et ne feront que croître si nous nous en tenons à des approches qui ne sont plus pertinentes et à des outils obsolètes." a déclaré Josh Stella, Vice President et Chief Architect de Snyk. "Cependant, notre rapport révèle aussi que la tendance du shift left1 pour la sécurité du cloud et l’adoption de la collaboration dans un modèle DevSecOps peuvent permettre aux organisations mondiales de garder leur rythme d’innovation, et ce en toute sécurité."

80 % des organisations ont subi un grave incident de sécurité du cloud, les startups et le secteur public sont les plus touchés

Les organisations de toutes tailles et de tous secteurs d’activité ayant recours au cloud ont indiqué qu’elles avaient été touchées par des incidents majeurs de sécurité du cloud au cours des 12 derniers mois. Si les startups (89 %) et les organisations du secteur public (88 %) sont les plus touchées, les grandes entreprises, en revanche, s’en sortent mieux, probablement en raison d’investissements plus importants. Il en est de même pour les PME qui sont moins dépendantes du cloud et, donc, possèdent une infrastructure moins complexe.

Les interrogés expliquent que les violations et les fuites de données, ainsi que les intrusions dans leur environnement, représentent les problèmes les plus graves qu’ils ont subi. Tous ces incidents ont un coût élevé pour les entreprises internationales : amendes à la suite d’audits ratés, violations de la conformité, perte de productivité due à l’arrêt du système etc..

Ces derniers ont également indiqué que ce risque est susceptible de s’intensifier rapidement :

• Un quart (25 %) s’inquiète d’avoir récemment subi une violation de données dans le cloud sans en avoir eu conscience.

• La majorité (58 %) des professionnels de la sécurité et des développeurs pensent que le risque de violation des données du cloud au sein de leur organisation va augmenter à l’avenir.

L’approche "Cloud Native" : 41% des interrogés citent la complexité supplémentaire comme un compromis

Si le développement d’applications cloud-natives permet aux développeurs modernes d’augmenter le rythme de production, de nouveaux défis complexes sont apparus à mesure que la surface d’attaque globale s’est étendue et que la délimitation claire des responsabilités en matière de sécurité s’est estompée.

En réalité, de nombreux échecs concernant la sécurité du cloud computing résultent d’un manque de collaboration et de formation. Lorsque plusieurs équipes utilisent des outils différents ou adoptent des stratégies distinctes, il est difficile de concilier le travail de ces équipes et de maintenir la cohérence d’une application. De plus, le recours à une solution produisant des faux positifs entraîne souvent une lassitude à l’égard des alertes au sein des équipes de sécurité, ce qui accroît le risque d’erreur humaine dans l’identification et la priorisation des problèmes critiques à traiter.

En effet, 77% des organisations citent le manque de formation et de collaboration comme un défi majeur quand 45 % des entreprises pointent du doigt la demande en ressources d’ingénierie comme le plus grand impact de l’inefficacité de la sécurité du cloud.

Les résultats commerciaux stratégiques liés à l’amélioration de la sécurité du cloud : la moitié des interrogés constatent un déploiement plus rapide Lorsque les entreprises améliorent leur sécurité du cloud, elles en retirent des avantages qui vont au-delà de la seule atténuation des incidents. En adoptant pleinement le cloud dans la création de nouvelles applications, les équipes ne peuvent plus s’appuyer sur les approches et technologies de sécurité traditionnelles qui ont été conçues pour les environnements hérités. Compte tenu de la réalité du développement cloud-native et des nombreuses parties prenantes internes impliquées, les entreprises qui défendent et adoptent ce changement de paradigme récoltent les avantages d’une collaboration facilitée entre les équipes qui permet une meilleure productivité des développeurs et la possibilité d’innover rapidement de manière sécurisée.

• La sécurité de l’infrastructure en tant que code (IaC) permet, en moyenne, une réduction de 70 % des erreurs de configuration du cloud.

• Près de la moitié (48 %) des interrogés déclarent que leur équipe de sécurité est capable de faire plus avec les ressources dont elle dispose à condition que la sécurité du cloud soit améliorée.

• 44 % des interrogés estiment que les améliorations de la sécurité ont conduit à une meilleure collaboration entre les équipes.