Les RSSI savent depuis des années que l’argent seul n’achète pas la sécurité dans les environnements sur site. La leçon est la même dans le nuage, selon un nouveau rapport.
Produite par IDC et parrainée par Bell Canada, l’étude publiée ce mois-ci est basée sur une enquête sur l’adoption de l’infonuagique par 300 moyennes et grandes entreprises, leurs capacités de sécurité et leur réussite à fournir des résultats de sécurité solides.
Parmi les découvertes surprenantes : Les entreprises qui dépensent le plus en technologie de sécurité ont eu plus de failles que la moyenne. La technologie seule n’assure pas la sécurité des organisations de l’étude. Elle doit également inclure des processus, des outils et des personnes.
Seulement 52 % des organisations étudiées ont pu se protéger d’une faille de sécurité, conclut l’enquête.
Elle a également démontré que seulement 34 % déploient des solutions de gestion de la posture de sécurité infonuagique, « laissant les autres exposées à des erreurs de configuration », conclut l’étude.
À bien des égards, a déclaré David Senf, cadre supérieur des pratiques de sécurité de Bell Canada et stratège en matière de sécurité nationale, l’étude montre que les services informatiques doivent se concentrer sur les bases de la cybersécurité.
« Ce que les organisations ne font pas assez, c’est de savoir ce qu’elles ont dans le nuage, quelles sont les erreurs de configuration, quels sont les niveaux de risque réels, afin qu’elles puissent allouer les ressources plus efficacement. »
Les résultats de l’enquête ont également démontré que les organisations qui se concentrent sur la détection, y compris la journalisation et la surveillance de l’activité du réseau informatique et l’automatisation de la réponse, s’en sortaient mieux que les autres.
L’étude a regroupé les organisations répondantes en quatre catégories :
- Les traditionalistes ; qui sont bloqués dans les compétences, les processus et la technologie hérités, et ont une adoption limitée de l’infonuagique.
- Les pragmatiques ; qui ont une adoption de l’infonuagique plus lente que la moyenne, mais commencent à prendre les bonnes mesures de sécurité. En général, ils s’en sortent mieux que d’autres en termes de résultats en matière de sécurité.
- Les stratèges ; qui ont adopté une approche calculée de l’infonuagique et ont obtenu les meilleurs résultats en matière de sécurité.
- Les négationnistes ; qui ont effectué une migration rapide vers l’infonuagique mais se sont principalement appuyés sur les technologies de sécurité pour la protection des données. Ils ont subi les pires résultats en matière de sécurité des quatre groupes parce que les bons processus de sécurité n’étaient pas en place.
Les services informatiques devraient s’efforcer d’imiter l’approche des stratèges, indique le rapport.
« Les organisations de ce groupe trouvent le bon équilibre entre la vitesse d’adoption de l’infonuagique et le temps nécessaire à la mise en œuvre des processus de sécurité », indique le rapport.
« De plus, ils se concentrent sur l’augmentation des compétences en sécurité des développeurs et du personnel informatique et de sécurité. Ils ne s’appuient pas autant sur les solutions technologiques que les négationnistes moins sécurisés. Ils reconnaissent que l’amélioration de la maturité de la sécurité implique un investissement continu de ressources et une gestion continue ; c’est une stratégie, pas un projet. Ils reconnaissent que le maintien de la sécurité prend du temps et, s’il est correctement planifié, se déroule sans difficultés majeures. »
Les stratèges :
- Utilisent des cadres de sécurité tels que ceux de la Cloud Security Alliance, du National Institute for Standards and Technology (NIST) des États-Unis, de l’ISO et du Center for Internet Security (CIS).
- Se concentrent sur les processus de sécurité clés, tels que l’inventaire permanent des services en nuage, l’évaluation continue des configurations infonuagiques, la gestion des droits et la détection des menaces.
- Se déplacent autant vers la gauche (intègrent la sécurité dès le début de leur processus de développement d’applications) que vers la droite (exécutent une sécurité renforcée de leurs applications en direct).
- Utilisent des outils et des processus de gestion de la posture de sécurité infonuagique pour détecter les erreurs de configuration et les écarts par rapport à un bon état connu.
- Automatisent dans la mesure du possible les tâches de sécurité.
- Assurent le contrôle du nuage grâce à l’utilisation de courtiers en sécurité d’accès au nuage et de la vérification systématique (zero trust).
« Des choses comme la rapidité avec laquelle vous répondez à un incident, le niveau de protection que vous avez mis en place, la rapidité avec laquelle vous pouvez récupérer sont importantes dans les environnements infonuagiques », a déclaré David Senf, « mais si vous n’avez pas les éléments fondamentaux tels que “Qu’est-ce qui est l’inventaire [des services en nuage] ? Puis-je détecter quand quelque chose se passe”, alors, par rapport à vos pairs, vous n’allez pas être aussi performant [que d’autres organisations] du point de vue de la sécurité.
Adaptation et traduction française par Renaud Larue-Langlois.
