Près de la moitié des violations de données dans les organisations financières proviennent du cloud, coûtant en moyenne 5,5 millions d’euros par an

mai 2024 par Illumio Inc. et Vanson Bourne

L’étude, intitulée Cloud Security Index : Redefine Cloud Security with Zero Trust Segmentation, montre que les organisations financières opèrent désormais avec un mélange d’architectures cloud tout en restant dépendantes des outils de sécurité traditionnels, créant ainsi de nouvelles lacunes en matière de sécurité. Selon la recherche, la plupart des organisations financières utilisent maintenant des environnements hybrides et multi-cloud, avec 98 % stockant des données sensibles et 85 % exécutant des applications de grande valeur dans le cloud.

Pourtant, malgré cette utilisation intensive du cloud, seulement 38 % des organisations disent bien comprendre les risques liés à la sécurité de leur environnement cloud. Cela est probablement dû à un manque de contrôle et de visibilité, 97 % affirmant avoir besoin d’une meilleure visibilité sur la connectivité avec les logiciels tiers et de temps de réaction plus rapides en cas de violation du cloud. Plus préoccupant encore, 4 organisations sur 10 estiment qu’il serait facile pour un attaquant de trouver des faiblesses dans leur environnement cloud et de se déplacer latéralement au sein de l’organisation. Cette tactique, connue sous le nom de mouvement latéral, est le principal facteur des attaques de ransomware réussies.

Il n’est donc pas surprenant que des améliorations soient prévues. Neuf organisations financières sur dix indiquent que l’amélioration de la sécurité du cloud est une priorité pour l’année à venir et 90 % reconnaissent que la segmentation des actifs critiques est une étape nécessaire pour sécuriser les projets basés sur le cloud. Presque toutes (98 %) affirment également avoir besoin de solutions de sécurité qui puissent évoluer en même temps que l’adoption rapide du cloud.

« Les organisations financières ont besoin d’un moyen pour appliquer la sécurité en temps réel, de manière dynamique, à mesure que les charges de travail se lancent et s’arrêtent, mais cela commence par la visibilité », déclare John Kindervag, fondateur du Zero Trust et évangéliste chez Illumio.

« La bonne nouvelle est que les organisations sont conscientes des risques et commencent à agir. C’est pourquoi nous assistons à ce mouvement mondial vers le Zero Trust, et plus spécifiquement vers la segmentation Zero Trust, car c’est une stratégie et une approche unifiées qui fonctionnent à la fois sur site et dans le cloud, offrant une méthode cohérente pour appliquer et renforcer la sécurité et bâtir la résilience à travers les environnements. »

Ces résultats arrivent à moins d’un an avant que les organisations ne doivent se conformer au Digital Operational Resilience Act (DORA). Cette réglementation, entrée en vigueur le 16 janvier 2023, vise à renforcer la résilience du secteur financier face aux incidents liés aux TIC et oblige les organisations à mettre en œuvre des contrôles de sécurité spécifiques, notamment l’identification des risques liés aux tiers et la segmentation du réseau. Cependant, la recherche révèle qu’un quart des organisations n’acceptent toujours pas que les violations sont inévitables – une condition préalable à l’amélioration de la résilience cybernétique, et seulement 33 % disposent actuellement de la segmentation Zero Trust sur leurs environnements sur site et cloud. 96 % affirment également avoir besoin d’améliorations pour établir et appliquer des politiques de sécurité et de conformité cohérentes.

Méthodologie de recherche

Illumio a chargé Vanson Bourne de réaliser une étude mondiale auprès de 1 600 décideurs informatiques et en sécurité sur l’état actuel de la sécurité du cloud et l’impact de la segmentation, dont 178 provenant d’organisations bancaires et financières. Les résultats intègrent les opinions de professionnels de la sécurité de l’information et de l’informatique de haut niveau aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Australie, au Japon, à Singapour, en Arabie Saoudite et aux Émirats Arabes Unis.