Les grands défis de la sécurité du cloud en 2022

Le cloud connait, depuis plusieurs années, une croissance rapide. Alors que bon nombre d’organisations avaient déjà entamé leur migration dans le cloud, la pandémie de Covid-19 n’a fait qu’accélérer le mouvement. Compte tenu de la normalisation du télétravail, les entreprises se sont vues dans l’obligation d’être en mesure de soutenir et de fournir des services essentiels à leurs collaborateurs en dehors de leur périmètre. Xavier Duros, directeur technique de Check Point France, nous livre son analyse.

Xavier Duros, directeur technique de Check Point France

Par conséquent, plus de 98 % des organisations utilisent désormais une certaine forme d’infrastructure sur le cloud, et plus des trois quarts (76 %) ont des déploiements multiclouds composés de services de deux fournisseurs de cloud ou plus. Ces environnements cloud hébergent des applications commerciales essentielles et stockent les données sensibles des entreprises et de leurs clients.

La migration vers le cloud requiert des mesures de sécurité. Les applications dans le cloud doivent être protégées ainsi que les données hébergées contre les attaques, contre les accès non autorisés, et ce conformément aux réglementations en vigueur.

Cependant, les environnements en cloud présentent des différences significatives par rapport à l’infrastructure OnPremise, ce qui signifie que les outils et approches traditionnels de sécurité ne fonctionnent pas toujours efficacement dans le cloud. Par conséquent, de nombreuses organisations sont confrontées à de véritables défis pour sécuriser leur toute nouvelle infrastructure cloud.

Le recours au cloud est en constante augmentation, ce qui signifie que sa sécurisation gagne également en importance. Au cours des dernières années, de nombreuses organisations ont rapidement adopté une infrastructure basée sur le cloud pour répondre aux besoins de l’entreprise, mais les efforts pour sécuriser cette infrastructure restent insuffisants. En 2022, bon nombre d’entre elles cherchent à corriger ces problèmes mais sont confrontées à des défis importants.

1. Les défis multi-clouds

La plupart des entreprises ont un déploiement multi-cloud. Cela leur permet de profiter pleinement des avantages uniques des différents environnements cloud optimisés pour des cas d’usage spécifiques. Cependant, cela augmente également l’échelle et la complexité de leur infrastructure cloud.

La grande complexité des environnements multi-clouds entraîne des défis de taille en matière de sécurité. Parmi les principaux défis auxquels les utilisateurs de multi-clouds sont confrontés, nous pouvons citer :

La protection des données et de la confidentialité : 57% des organisations trouvent qu’il est difficile de protéger correctement les données dans les environnements multi-clouds conformément à la politique de l’entreprise et aux exigences réglementaires. Les différents environnements ont des contrôles et des outils de sécurité intégrés différents, ce qui rend difficile une protection cohérente.
Un accès aux connaissances du cloud : 56% des organisations peinent à accéder aux connaissances nécessaires pour déployer et gérer une sécurité cohérente dans des environnements multi-clouds. Pour ce faire, elles ont besoin de compétences spécifiques dans chaque environnement, situation qui devient de plus en plus difficile à mesure que le nombre d’environnements augmente.
L’intégration des solutions entre elles : Les environnements multi-clouds impliquent des solutions hétérogènes proposées par plusieurs fournisseurs. 50% des organisations ont des difficultés à comprendre comment les solutions de sécurité interagissent.
Une perte de visibilité et de contrôle : Il est difficile de disposer d’une visibilité et d’un contrôle dans le cloud en raison du modèle de responsabilité partagée et de la dépendance à une infrastructure contrôlée par le fournisseur. 46% des organisations citent ce point comme étant un défi majeur lorsqu’elles travaillent dans des environnements multi-clouds.

2. La sécurité chez les fournisseurs de cloud

Plus des trois quarts des entreprises (76 %) utilisent deux fournisseurs de services cloud ou plus, et près d’un quart (24 %) en utilisent plus de cinq. Cette complexité de l’infrastructure du cloud rend difficile la surveillance et la sécurisation constantes de ces environnements. Par ailleurs, plus de la moitié des entreprises (54 %) pensent que les offres de sécurité intégrées de leurs fournisseurs de cloud ne sont pas aussi efficaces que les solutions d’un fournisseur tiers.

Compte tenu de la complexité de la sécurisation des environnements multiclouds, les organisations peuvent rencontrer des difficultés à atteindre leurs principaux objectifs de sécurité, et notamment :

La prévention des erreurs de configuration du cloud : Vu les nombreux paramètres de sécurité propres à chaque fournisseur, il est complexe de s’assurer que tous soient corrects.
La sécurisation des principales applications cloud déjà utilisées : Le passage rapide au cloud dû à la Covid-19 a laissé de nombreuses équipes de sécurité à la traîne.
Le respect de la réglementation : Les rapides transformations numériques et l’expansion du paysage réglementaire rendent la conformité complexe.
La lutte contre les malwares : Les entreprises passent au cloud, tout comme les acteurs de la cybermenace, rendant la gestion des malwares une priorité dans le cloud.

3. L’automatisation et l’orchestration

Au moment où les organisations passent à des déploiements complexes et multi-clouds, l’automatisation et l’orchestration sont essentielles pour maintenir la sécurité à l’échelle. Les organisations utilisent divers outils de sécurité pour faciliter la mise en œuvre des contrôles et des processus de sécurité, notamment :

Des Templates d’Infrastructure as Code (IaC) et de sécurité as Code (Terraform ou AWS CloudFormation) 48 %.
Technologies Serverless (fonctions Lamba ou Azure) : 44%
Plugins d’intégration et de distribution continues (CI/CD) (Jenkins ou TeamCity) : 44%
Outils d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) : 41%
Outils d’orchestration de la configuration (Chef ou Ansible) : 41%
Pare-feu pour applications Web (WAFs): 5%

4. Le cycle DevOps

Déplacer la sécurité vers le gauche (ShiftLeft) en l’intégrant à des étapes plus précoces du cycle de vie du développement logiciel (SDLC) peut réduire considérablement les coûts et les impacts des vulnérabilités ou du code qui ne respecte pas les exigences de conformité réglementaire. Les organisations mettent en œuvre les tests de sécurité et de conformité DevOps dans diverses étapes du SDLC, notamment :

Test et production du système : 52%
Développement de fonctionnalités et tests unitaires : 42%
Staging : 42%
Aucun test : 10%
Autre : 27%

5. La sécurité opérationnelle

La sécurisation du cloud peut être un défi, en particulier dans les environnements complexes et multi-clouds. Voici quelques-uns des plus grands défis auxquels les organisations sont confrontées lorsqu’elles tentent de sécuriser leurs Workload dans le cloud :

Le manque de personnel qualifié : Le secteur de la cybersécurité est confronté à une importante pénurie de compétences, et les ensembles de compétences spécialisées sont encore plus difficiles à trouver. Par conséquent, moins de la moitié des organisations (45 %) trouvent du personnel qualifié pour remplir les rôles critiques de sécurité du cloud.
La conformité : La plupart des organisations sont soumises à de nombreuses réglementations de conformité différentes, et le paysage réglementaire évolue rapidement. À mesure que les entreprises se tournent vers le cloud, 39 % déclarent que garantir, maintenir et respecter la conformité réglementaire dans cet environnement informatique très différent constitue un défi important.
Le manque de visibilité sur la sécurité de l’infrastructure : Les déploiements dans le cloud fonctionnent selon le modèle de responsabilité partagée, dans lequel la responsabilité de la sécurité est répartie entre le fournisseur de cloud et le client. Sans visibilité ni contrôle des niveaux inférieurs de leur infrastructure et dans l’incapacité de déployer des solutions de sécurité traditionnelles, 35 % des organisations ont du mal à obtenir une visibilité essentielle de leur infrastructure de sécurité fondamentale.
La difficulté à identifier les mauvaises configurations : Chaque plateforme en cloud possède son propre jeu de configurations de sécurité, et la plupart des organisations travaillent avec plusieurs fournisseurs de cloud. Pour 33 % des organisations, la complexité de leurs environnements cloud rend difficiles une identification et une correction rapides des mauvaises configurations avant qu’elles ne puissent être exploitées par un attaquant.
La mise en place de politiques de sécurité cohérentes : Avec de multiples environnements cloud, les organisations sont confrontées à une variété de différents outils et paramètres de sécurité intégrés. Ainsi, 32 % des entreprises affirment que le maintien de politiques de sécurité cohérentes dans l’ensemble de leur infrastructure cloud constitue un défi important.
L’automatisation de la sécurité du cloud : Des contrôles de sécurité continus et automatisés sont essentiels pour minimiser le risque et l’impact des cyberattaques contre les ressources basées sur le cloud. Cependant, 31 % des organisations ont du mal à mettre en œuvre ces contrôles automatisés.
L’automatisation de l’application de la sécurité : Compte tenu de l’ampleur des environnements multiclouds, il est impossible de configurer et d’appliquer manuellement la sécurité sur l’ensemble de l’environnement d’une entreprise. L’application automatisée est essentielle, mais est considérée comme un défi majeur pour 28% des organisations.

6. La conformité du cloud

Pour la plupart des organisations, le respect des diverses réglementations pour protéger les données et des normes industrielles est une nécessité. Cependant, la conception et la mise en œuvre de politiques de conformité pour les environnements cloud sont très différentes des systèmes OnPremise. Parmi les plus grands défis de conformité au cloud auxquels les organisations sont confrontées, nous pouvons citer :

Un manque de connaissances et d’expertise : La conformité au cloud requiert des connaissances et une expertise spécialisées, car elle exige non seulement de connaître les contrôles requis, mais aussi de savoir comment les mettre en œuvre dans les environnements cloud. Plus de la moitié (55%) des entreprises indiquent que le manque de cette connaissance combinée de la réglementation et du cloud constitue leur plus grand défi.
Un environnement en mutation : La conformité au cloud est un combat permanent, car les exigences réglementaires et les environnements cloud changent régulièrement. Maintenir une conformité continue malgré les changements dans les environnements cloud est un défi évoqué par 43% des organisations.
Des audits complexes : Les audits de conformité et les évaluations des risques peuvent être rébarbatifs sur site, quand l’organisation possède et contrôle toute son infrastructure. Le faire dans le cloud avec un accès limité à l’infrastructure de base est un défi signalé par 42% des organisations.
Le contrôle de la conformité : Pour maintenir la conformité, il faut une visibilité approfondie des systèmes et des contrôles de sécurité d’une organisation. Avec une visibilité difficile à obtenir dans le cloud, 42% des organisations trouvent que le contrôle de la conformité est problématique dans leur infrastructure basée sur le cloud.
La modification des exigences : Depuis quelques années, on assiste à l’adoption rapide de nouvelles réglementations et à la mise à jour des normes existantes. Suivre l’évolution des exigences est un défi majeur pour 36% des entreprises.
La gestion des vulnérabilités dans le cloud : Le développement de l’infrastructure multicloud s’accompagne d’une expansion de la surface d’attaque numérique d’une organisation. Il est essentiel de surveiller les applications et services cloud pour détecter les vulnérabilités afin de prévenir les fuites de données et la non-conformité aux réglementations.
L’automatisation de la conformité : Maintenir et rendre compte manuellement de la conformité à de multiples réglementations dans des environnements multiclouds est complexe et difficilement modulable. 27 % des entreprises affirment que l’échelonnement et l’automatisation de la conformité constituent l’un de leurs plus grands défis en matière de conformité dans le cloud.

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

[Tribune] Les grands défis de la sécurité du cloud en 2022