L'avis des leaders du cloud sur les principaux défis
Un nombre excessif d'identités, de systèmes et d'intervenants complique une tâche déjà difficile.
Plus des deux-tiers des décisionnaires responsables du cloud (68 %) déclarent que leurs déploiements cloud (particulièrement les instances publiques et hybrides) constituent le plus grand risque d'exposition de leur entreprise. En outre, la gestion des accès à ces systèmes représente un défi de taille.
Voici les résultats d'une étude réalisée auprès de 262 professionnels de l'IT et de la sécurité habilités à prendre la décision finale quant à l'infrastructure cloud de leur entreprise. Cette étude, menée en 2023 par Forrester Consulting pour le compte de Tenable, révèle quatre domaines clés que les décisionnaires responsables du cloud considèrent comme le plus grand risque d'exposition :
- Mauvaises configurations des services et de l'infrastructure cloud utilisés dans toute l'entreprise (68 %)
- Failles dans les logiciels IT/commerciaux utilisés dans toute l'entreprise (62 %)
- Mauvaises configurations des outils utilisés par l'entreprise pour gérer les accès et les privilèges utilisateur (60 %)
- Failles dans les logiciels de technologies opérationnelles utilisés dans toute l'entreprise (46 %)
Dans l'évaluation de l'exposition au risque, le cloud se détache largement des autres aspects de l'infrastructure IT comme source d'inquiétude chez les décisionnaires.
Parmi les domaines suivants, lequel présente le plus grand risque d'exposition pour votre entreprise ?
Technologie | Taux de réponse |
Infrastructure cloud publique1 | 29 % |
Infrastructure multi-cloud/hybride2 | 28 % |
IoT (Internet des objets) | 15 % |
Infrastructure cloud privée | 11 % |
Outils de gestion de conteneurs cloud | 9 % |
Infrastructure sur site | 5 % |
Technologies opérationnelles, système de contrôle industriel (ICS), Supervisory Control and Data Acquisition (SCADA) | 3 % |
1 Un cloud public peut se présenter sous la forme d'un seul fournisseur de cloud public, comme Amazon Web Services (AWS), Google Cloud Platform (GCP) ou Microsoft Azure
2 Un multi-cloud ou un cloud hybride est une combinaison de plusieurs clouds publics et/ou privés
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Dans quoi investissent les décisionnaires responsables du cloud pour l'année à venir ?
La plupart des entreprises ont aujourd'hui déployé un vaste arsenal de systèmes métier et d'infrastructures cloud, comprenant des machines virtuelles et des conteneurs, ainsi que des outils de gestion de la relation client (CRM) et des ressources humaines.
Interrogés sur les investissements liés au déploiement de la technologie dans le cloud, les participants ont identifié les machines virtuelles, les conteneurs et les fonctions sans serveur comme les trois principaux types de technologies dont ils prévoient d'étendre l'adoption dans les 12 prochains mois.
Parmi les technologies d'infrastructure cloud suivantes, lesquelles votre entreprise utilise-t-elle actuellement ?
Technologie | Aucun intérêt pour le cloud | Intéressé, mais pas d'implémentation prévue du cloud | Implémentation du cloud prévue d'ici 12 mois | Cloud implémenté, mais pas d'expansion/mise à niveau | Expansion ou mise à niveau de l'utilisation du cloud | Diminution ou abandon de l'utilisation du cloud |
Fonctions sans serveur | 8 % | 21 % | 39 % | 24 % | 7 % | 0 % |
Machines virtuelles | 3 % | 14 % | 33 % | 34 % | 13 % | 3 % |
Conteneurs | 2 % | 11 % | 32 % | 35 % | 16 % | 3 % |
Gestion RH | 2 % | 12 % | 26 % | 40 % | 18 % | 2 % |
2 % | 5 % | 25 % | 35 % | 26 % | 7 % | |
Services financiers | 3 % | 11 % | 25 % | 32 % | 24 % | 6 % |
Gestion des services informatiques (ITSM) | 0 % | 5 % | 24 % | 34 % | 30 % | 8 % |
Planification des ressources d'entreprise (ERP) | 1 % | 4 % | 17 % | 37 % | 32 % | 9 % |
Gestion de la relation client (CRM) | 0 % | 6 % | 14 % | 42 % | 28 % | 10 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Trop de données, trop de silos, trop d'acteurs
Étant donné la complexité de l'écosystème cloud dans la plupart des entreprises, il n'est pas étonnant que les résultats du cloud arrivent en tête des sources de données utilisées par les décisionnaires pour déterminer l'exposition globale au risque. Toutefois, ils sont loin d'être la seule source. Les flux de threat intelligence, les divulgations de vulnérabilités et les résultats des évaluations de préparation aux incidents figurent également parmi les sources qui influent sur les décisions en matière de cloud de données.
Parmi les sources de données suivantes, lesquelles votre entreprise utilise-t-elle pour identifier son exposition globale au risque ?
Source de données | Taux de réponse |
Découvertes dans le cloud | 69 % |
Flux de threat intelligence | 55% |
Divulgations de vulnérabilité | 52 % |
Résultats des évaluations de préparation aux incidents | 52 % |
Résultats de tests d'intrusion | 47 % |
Détections de la surface d'attaque externe | 42 % |
Profils utilisateur et privilèges | 35 % |
Résultats des technologies opérationnelles | 31% |
Inventaires des assets | 26 % |
Plusieurs réponses autorisées
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
L'agrégation de toutes les données issues de plusieurs systèmes cloisonnés est chronophage et complexe. En effet, les silos organisationnels, le manque d'hygiène des données et une cyber-sécurité plus réactive que préventive sont autant de facteurs qui compliquent la sécurisation du cloud. En particulier :
- Pour 7 décisionnaires sur 10 (70 %), les systèmes cloisonnés de l'entreprise constituent un obstacle à l'obtention des données utilisateur.
- La moitié déclare que l'entreprise ne dispose pas d'un moyen efficace d'intégrer les données utilisateur aux pratiques de gestion des vulnérabilités.
- Pour plus de la moitié (55 %), le manque d'hygiène dans les systèmes de gestion des vulnérabilités et des données utilisateur empêche l'entreprise de bénéficier de données de qualité pour aider les employés dans la priorisation des décisions.
- Pour 6 personnes interrogées sur 10 (58 %), l'équipe de cyber-sécurité est trop occupée à lutter contre les incidents critiques pour adopter une approche préventive visant à réduire l'exposition de leur entreprise.
- Près des trois-quarts (74 %) des participants estiment que leur entreprise parviendrait à mieux se défendre contre les cyber-attaques si elle allouait plus de ressources à la cyber-sécurité préventive.
Pour compliquer encore les choses, la supervision des systèmes de gestion des identités et des accès apparaît comme une tâche collaborative, impliquant des professionnels de divers domaines : opérations IT et de sécurité, risque et conformité, gouvernance. Une large majorité de personnes interrogées (67 %) disposent d'au moins trois systèmes de gestion des identités et des accès, lesquels sont parfois gérés par cinq types d'équipes différents : opérations IT (77 %), opérations de sécurité (61 %), identités et accès (53 %), risque et conformité (36 %), gouvernance (32 %).
Qui s'occupe des systèmes de gestion des identités et des privilèges dans votre entreprise ?
Équipe | Taux de réponse |
Opérations IT | 77 % |
Opérations de sécurité | 61 % |
Identités et accès | 53 % |
Risque et conformité | 36 % |
Gouvernance | 32 % |
Mon entreprise n'a pas de système de gestion des identités et des privilèges | 2 % |
Autre | 1 % |
Plusieurs réponses autorisées
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
En outre, la plupart des décisionnaires cloud interrogés ont plusieurs casquettes ; ils considèrent avoir le dernier mot dans un certain nombre d'autres domaines clés, tels que le DevSecOps, la gestion des vulnérabilités et même le centre des opérations de sécurité (SOC).
C'est à moi que revient la décision finale dans ce domaine
Domaine | Taux de réponse |
DevSecOps | 61 % |
Gestion des vulnérabilités | 58 % |
Opérations de sécurité/SOC | 57 % |
Applications/Outils SaaS | 56 % |
Opérations IT | 56 % |
Gestion des identités, accès et privilèges | 53 % |
DevOps | 53 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Pourtant, la cyber-sécurité est souvent exclue de la boucle pour la plupart des étapes de déploiement de technologie.
À quelle fréquence l'équipe de cyber-sécurité de votre entreprise intervient-elle pendant les étapes de déploiement suivantes ?
Étape | Jamais | Rarement | Parfois | La plupart du temps | Tout le temps |
Examen de l'architecture | 1 % | 10 % | 38 % | 35 % | 15 % |
Définition du champ d'application | 2 % | 16 % | 41 % | 32 % | 9 % |
Appel d'offres | 3 % | 10 % | 31% | 35 % | 21 % |
Évaluation des fournisseurs/Démonstration de faisabilité | 2 % | 10 % | 33 % | 31% | 24 % |
Configuration et déploiement | 0 % | 5 % | 27 % | 42 % | 26 % |
Gestion des privilèges et des accès utilisateur | 0 % | 2 % | 23 % | 38 % | 35 % |
Gestion et maintenance continue des fournisseurs | 1 % | 9 % | 27 % | 40 % | 23 % |
Gouvernance et gestion des exceptions | 1 % | 11 % | 21 % | 45 % | 22 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Le DevOps est une autre source d'inquiétude pour les décisionnaires responsables du cloud : 4 sur 10 (42 %) affirment que l'équipe DevOps de leur entreprise ne priorise pas la sécurité dans son processus de développement de code.
À propos des participants
Les personnes interrogées sont des décisionnaires responsables du cloud évoluant dans le domaine de l'IT (65 %) et de la cyber-sécurité (35 %). Le plus souvent, ils occupent un poste de vice-président ou de directeur, plutôt que de cadre dirigeant. Ils sont très impliqués dans la stratégie IT et de sécurité.
Parmi les propositions suivantes, laquelle décrit le mieux votre poste/service actuel ?
Poste/Service | Taux de réponse |
IT | 65 % |
Cyber-sécurité/InfoSec | 35 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Quel intitulé de poste décrit le mieux votre fonction au sein de l'entreprise ?
Fonction | Taux de réponse |
Décisionnaire (souvent senior) responsable de l'IT ou de la sécurité (ex. : DSI, RSSI, CTO) | 22 % |
Responsable de la sécurité des informations commerciales (BISO) | 3 % |
VP informatique ou sécurité | 40 % |
Directeur informatique ou sécurité | 35 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
À quel point êtes-vous impliqué dans la définition, la gestion et/ou la mise en œuvre des aspects suivants de la stratégie IT/SÉCURITÉ de votre entreprise ?
Domaine | Peu impliqué | Modérément impliqué | Très impliqué |
Budget | 1 % | 45 % | 53 % |
Indicateurs de performances | 0 % | 40 % | 59 % |
Stratégies commerciales | 0 % | 48 % | 52 % |
Base : 262 professionnels de l'IT et de la sécurité, habilités à prendre la décision finale quant à l'infrastructure/architecture cloud de leur entreprise
Source : Étude menée en 2023 par Forrester Consulting pour le compte de Tenable
Quatre recommandations pour réduire le risque lié à la sécurité du cloud
Sécuriser votre infrastructure cloud complexe nécessite de relever plusieurs défis en termes de personnes, de processus et de technologies. Voici quatre recommandations pour commencer :
- Décloisonner. Élaborez un plan pour standardiser la sécurité du cloud dans plusieurs unités fonctionnelles, en fournissant un seul point de référence aux équipes de sécurité, IT, DevOps et DevSecOps. Pouvez-vous déterminer rapidement les relations entre les utilisateurs, les systèmes et les assets dans votre entreprise, afin d'identifier et de gérer leur exposition de façon réaliste ? Ou bien vos systèmes cloisonnés vous empêchent-ils d'intégrer efficacement ces données à vos pratiques de sécurité du cloud ? La standardisation permet de minimiser les conflits entre les équipes IT, de sécurité et de développement, mais aussi de faciliter la prise de décisions sur la base de recommandations précises et facilement comprises de tous.
- Cartographier la surface d'attaque. Connaître les assets cloud que vous possédez n'est qu'un début. Vous avez besoin de visibilité sur leurs configurations, les identités numériques et les autorisations associées à chaque asset de votre réseau. C'est seulement avec une vue contextualisée des assets, des configurations et des identités que vous obtiendrez la visibilité nécessaire pour réaliser le type d'analyse précise qui permet aux équipes de sécurité de formuler des recommandations visant à réduire le risque.
- Relever les défis du multi-cloud. Les principaux fournisseurs de cloud public, à savoir Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure, gèrent chacun leurs composants cloud différemment, ce qui entraîne des incohérences dans la surveillance de la sécurité en continu. Essayez de regrouper les informations de tous vos fournisseurs de cloud public dans un système unifié de surveillance et de gestion. Pour ce faire, vous devez comprendre les divers mécanismes à l'œuvre, y compris l'infrastructure du fournisseur cloud et le modèle d'autorisations. Cela vous permettra de partir sur de bonnes bases pour obtenir des recommandations de remédiation consolidées et précises.
- Rechercher des solutions automatisées. Les solutions automatisées de sécurité du cloud vous permettent d'analyser en continu l'exposition de votre entreprise au risque et de présenter les résultats de façon simple, digeste et exploitable, sans exiger des compétences techniques pointues de la part des équipes. Les outils de sécurité automatisés aident à comprendre, investiguer et gérer le risque inhérent à la complexité. Avec la solution automatisée appropriée, vous disposez d'une visibilité totale sur vos assets cloud, utilisateurs et configurations. Vous pouvez consolider les informations de tous les fournisseurs de cloud public dans un système unifié de surveillance et de gestion, ainsi que vous appuyer sur la sévérité du risque pour la priorisation et la remédiation. L'automatisation peut décupler les forces des équipes de sécurité en sous-effectif.
Dans leur recherche de solutions cloud adaptées, les entreprises doivent privilégier celles qui réduisent la complexité et le risque. Ces solutions doivent être conviviales et standardiser la sécurité du cloud dans plusieurs unités fonctionnelles. Une solution solide fait office de conseillère : elle fournit des renseignements sur les vulnérabilités et les mauvaises configurations qui exigent une attention immédiate. Elle permet également de contextualiser la priorisation du risque et de prendre, grâce à des informations exploitables, des décisions éclairées relatives à la migration et aux outils qui servent à automatiser et accélérer l'atténuation.
Articles connexes
- Cloud
- Cloud
- Exposure Management