[Tribune] Les grands défis de la sécurité du cloud en 2022

Le cloud connait, depuis plusieurs années, une croissance rapide. Alors que bon nombre d’organisations avaient déjà entamé leur migration dans le cloud, la pandémie de Covid-19 n’a fait qu’accélérer le mouvement. Compte tenu de la normalisation du télétravail, les entreprises se sont vues dans l’obligation d’être en mesure de soutenir et de fournir des services essentiels à leurs collaborateurs en dehors de leur périmètre. Xavier Duros, directeur technique de Check Point France, nous livre son analyse.

Par conséquent, plus de 98 % des organisations utilisent désormais une certaine forme d’infrastructure sur le cloud, et plus des trois quarts (76 %) ont des déploiements multiclouds composés de services de deux fournisseurs de cloud ou plus. Ces environnements cloud hébergent des applications commerciales essentielles et stockent les données sensibles des entreprises et de leurs clients.

A lire aussi : Selon VMware, les DSI de l’industrie ont enfin une opportunité cruciale pour repositionner leurs équipes vis-à-vis du business

La migration vers le cloud requiert des mesures de sécurité. Les applications dans le cloud doivent être protégées ainsi que les données hébergées contre les attaques, contre les accès non autorisés, et ce conformément aux réglementations en vigueur.

Cependant, les environnements en cloud présentent des différences significatives par rapport à l’infrastructure OnPremise, ce qui signifie que les outils et approches traditionnels de sécurité ne fonctionnent pas toujours efficacement dans le cloud. Par conséquent, de nombreuses organisations sont confrontées à de véritables défis pour sécuriser leur toute nouvelle infrastructure cloud.

Le recours au cloud est en constante augmentation, ce qui signifie que sa sécurisation gagne également en importance. Au cours des dernières années, de nombreuses organisations ont rapidement adopté une infrastructure basée sur le cloud pour répondre aux besoins de l’entreprise, mais les efforts pour sécuriser cette infrastructure restent insuffisants. En 2022, bon nombre d’entre elles cherchent à corriger ces problèmes mais sont confrontées à des défis importants.

1. Les défis multi-clouds

La plupart des entreprises ont un déploiement multi-cloud. Cela leur permet de profiter pleinement des avantages uniques des différents environnements cloud optimisés pour des cas d’usage spécifiques. Cependant, cela augmente également l’échelle et la complexité de leur infrastructure cloud.

La grande complexité des environnements multi-clouds entraîne des défis de taille en matière de sécurité.  Parmi les principaux défis auxquels les utilisateurs de multi-clouds sont confrontés, nous pouvons citer :

• La protection des données et de la confidentialité : 57% des organisations trouvent qu’il est difficile de protéger correctement les données dans les environnements multi-clouds conformément à la politique de l’entreprise et aux exigences réglementaires. Les différents environnements ont des contrôles et des outils de sécurité intégrés différents, ce qui rend difficile une protection cohérente.
• Un accès aux connaissances du cloud : 56% des organisations peinent à accéder aux connaissances nécessaires pour déployer et gérer une sécurité cohérente dans des environnements multi-clouds. Pour ce faire, elles ont besoin de compétences spécifiques dans chaque environnement, situation qui devient de plus en plus difficile à mesure que le nombre d’environnements augmente.
• L’intégration des solutions entre elles : Les environnements multi-clouds impliquent des solutions hétérogènes proposées par plusieurs fournisseurs. 50% des organisations ont des difficultés à comprendre comment les solutions de sécurité interagissent.
• Une perte de visibilité et de contrôle : Il est difficile de disposer d’une visibilité et d’un contrôle dans le cloud en raison du modèle de responsabilité partagée et de la dépendance à une infrastructure contrôlée par le fournisseur. 46% des organisations citent ce point comme étant un défi majeur lorsqu’elles travaillent dans des environnements multi-clouds.

2. La sécurité chez les fournisseurs de cloud

Plus des trois quarts des entreprises (76 %) utilisent deux fournisseurs de services cloud ou plus, et près d’un quart (24 %) en utilisent plus de cinq. Cette complexité de l’infrastructure du cloud rend difficile la surveillance et la sécurisation constantes de ces environnements. Par ailleurs, plus de la moitié des entreprises (54 %) pensent que les offres de sécurité intégrées de leurs fournisseurs de cloud ne sont pas aussi efficaces que les solutions d’un fournisseur tiers.

Compte tenu de la complexité de la sécurisation des environnements multiclouds, les organisations peuvent rencontrer des difficultés à atteindre leurs principaux objectifs de sécurité, et notamment :

• La prévention des erreurs de configuration du cloud : Vu les nombreux paramètres de sécurité propres à chaque fournisseur, il est complexe de s’assurer que tous soient corrects.
• La sécurisation des principales applications cloud déjà utilisées : Le passage rapide au cloud dû à la Covid-19 a laissé de nombreuses équipes de sécurité à la traîne.
• Le respect de la réglementation : Les rapides transformations numériques et l’expansion du paysage réglementaire rendent la conformité complexe.
• La lutte contre les malwares : Les entreprises passent au cloud, tout comme les acteurs de la cybermenace, rendant la gestion des malwares une priorité dans le cloud.

3. L’automatisation et l’orchestration

Au moment où les organisations passent à des déploiements complexes et multi-clouds, l’automatisation et l’orchestration sont essentielles pour maintenir la sécurité à l’échelle. Les organisations utilisent divers outils de sécurité pour faciliter la mise en œuvre des contrôles et des processus de sécurité, notamment :

• Des Templates d’Infrastructure as Code (IaC) et de sécurité as Code (Terraform ou AWS CloudFormation) 48 %.
• Technologies Serverless (fonctions Lamba ou Azure) : 44%
• Plugins d’intégration et de distribution continues (CI/CD) (Jenkins ou TeamCity) : 44%
• Outils d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) : 41%
• Outils d’orchestration de la configuration (Chef ou Ansible) : 41%
• Pare-feu pour applications Web (WAFs): 5%

4. Le cycle DevOps

Déplacer la sécurité vers le gauche (ShiftLeft) en l’intégrant à des étapes plus précoces du cycle de vie du développement logiciel (SDLC) peut réduire considérablement les coûts et les impacts des vulnérabilités ou du code qui ne respecte pas les exigences de conformité réglementaire. Les organisations mettent en œuvre les tests de sécurité et de conformité DevOps dans diverses étapes du SDLC, notamment :

• Test et production du système : 52%
• Développement de fonctionnalités et tests unitaires : 42%
• Staging : 42%
• Aucun test : 10%
• Autre : 27%

5. La sécurité opérationnelle

La sécurisation du cloud peut être un défi, en particulier dans les environnements complexes et multi-clouds. Voici quelques-uns des plus grands défis auxquels les organisations sont confrontées lorsqu’elles tentent de sécuriser leurs Workload dans le cloud :

• Le manque de personnel qualifié : Le secteur de la cybersécurité est confronté à une importante pénurie de compétences, et les ensembles de compétences spécialisées sont encore plus difficiles à trouver. Par conséquent, moins de la moitié des organisations (45 %) trouvent du personnel qualifié pour remplir les rôles critiques de sécurité du cloud.
• La conformité : La plupart des organisations sont soumises à de nombreuses réglementations de conformité différentes, et le paysage réglementaire évolue rapidement. À mesure que les entreprises se tournent vers le cloud, 39 % déclarent que garantir, maintenir et respecter la conformité réglementaire dans cet environnement informatique très différent constitue un défi important.
• Le manque de visibilité sur la sécurité de l’infrastructure : Les déploiements dans le cloud fonctionnent selon le modèle de responsabilité partagée, dans lequel la responsabilité de la sécurité est répartie entre le fournisseur de cloud et le client. Sans visibilité ni contrôle des niveaux inférieurs de leur infrastructure et dans l’incapacité de déployer des solutions de sécurité traditionnelles, 35 % des organisations ont du mal à obtenir une visibilité essentielle de leur infrastructure de sécurité fondamentale.
• La difficulté à identifier les mauvaises configurations : Chaque plateforme en cloud possède son propre jeu de configurations de sécurité, et la plupart des organisations travaillent avec plusieurs fournisseurs de cloud. Pour 33 % des organisations, la complexité de leurs environnements cloud rend difficiles une identification et une correction rapides des mauvaises configurations avant qu’elles ne puissent être exploitées par un attaquant.
• La mise en place de politiques de sécurité cohérentes : Avec de multiples environnements cloud, les organisations sont confrontées à une variété de différents outils et paramètres de sécurité intégrés. Ainsi, 32 % des entreprises affirment que le maintien de politiques de sécurité cohérentes dans l’ensemble de leur infrastructure cloud constitue un défi important.
• L’automatisation de la sécurité du cloud : Des contrôles de sécurité continus et automatisés sont essentiels pour minimiser le risque et l’impact des cyberattaques contre les ressources basées sur le cloud. Cependant, 31 % des organisations ont du mal à mettre en œuvre ces contrôles automatisés.
• L’automatisation de l’application de la sécurité : Compte tenu de l’ampleur des environnements multiclouds, il est impossible de configurer et d’appliquer manuellement la sécurité sur l’ensemble de l’environnement d’une entreprise. L’application automatisée est essentielle, mais est considérée comme un défi majeur pour 28% des organisations.

6. La conformité du cloud

Pour la plupart des organisations, le respect des diverses réglementations pour protéger les données et des normes industrielles est une nécessité. Cependant, la conception et la mise en œuvre de politiques de conformité pour les environnements cloud sont très différentes des systèmes OnPremise. Parmi les plus grands défis de conformité au cloud auxquels les organisations sont confrontées, nous pouvons citer :

• Un manque de connaissances et d’expertise : La conformité au cloud requiert des connaissances et une expertise spécialisées, car elle exige non seulement de connaître les contrôles requis, mais aussi de savoir comment les mettre en œuvre dans les environnements cloud. Plus de la moitié (55%) des entreprises indiquent que le manque de cette connaissance combinée de la réglementation et du cloud constitue leur plus grand défi.
• Un environnement en mutation : La conformité au cloud est un combat permanent, car les exigences réglementaires et les environnements cloud changent régulièrement. Maintenir une conformité continue malgré les changements dans les environnements cloud est un défi évoqué par 43% des organisations.
• Des audits complexes : Les audits de conformité et les évaluations des risques peuvent être rébarbatifs sur site, quand l’organisation possède et contrôle toute son infrastructure. Le faire dans le cloud avec un accès limité à l’infrastructure de base est un défi signalé par 42% des organisations.
• Le contrôle de la conformité : Pour maintenir la conformité, il faut une visibilité approfondie des systèmes et des contrôles de sécurité d’une organisation. Avec une visibilité difficile à obtenir dans le cloud, 42% des organisations trouvent que le contrôle de la conformité est problématique dans leur infrastructure basée sur le cloud.
• La modification des exigences : Depuis quelques années, on assiste à l’adoption rapide de nouvelles réglementations et à la mise à jour des normes existantes. Suivre l’évolution des exigences est un défi majeur pour 36% des entreprises.
• La gestion des vulnérabilités dans le cloud : Le développement de l’infrastructure multicloud s’accompagne d’une expansion de la surface d’attaque numérique d’une organisation. Il est essentiel de surveiller les applications et services cloud pour détecter les vulnérabilités afin de prévenir les fuites de données et la non-conformité aux réglementations.
• L’automatisation de la conformité : Maintenir et rendre compte manuellement de la conformité à de multiples réglementations dans des environnements multiclouds est complexe et difficilement modulable. 27 % des entreprises affirment que l’échelonnement et l’automatisation de la conformité constituent l’un de leurs plus grands défis en matière de conformité dans le cloud.