Alors que les organisations se tournent de plus en plus vers l’infonuagique, il n’est pas surprenant que les cybercriminels attaquent de plus en plus les applications basées sur le nuage.
Une nouvelle recherche de Venafi montre à quel point le problème peut être important.
Selon une enquête publiée mercredi, 81 % des décideurs en matière de sécurité interrogés ont déclaré que leur entreprise avait connu un incident de sécurité lié au nuage au cours des 12 derniers mois. Près de la moitié (45 %) ont déclaré que leur organisation avait subi au moins quatre incidents.
« Le problème sous-jacent de ces incidents de sécurité est l’augmentation spectaculaire de la sécurité et de la complexité opérationnelle liée aux déploiements infonuagiques », conclut Venafi.
Venafi, un fournisseur de solutions de gestion de l’identité des machines, a interrogé un peu plus de 1 100 décideurs en matière de sécurité aux États-Unis, au Royaume-Uni, en France, en Allemagne, au Benelux (Belgique, Pays-Bas, Luxembourg) et en Australie.
Les répondants ont déclaré que 41 % de leurs applications étaient hébergées dans le nuage et s’attendent à ce que ce pourcentage passe à 57 % au cours des 18 prochains mois.
Un peu plus de la moitié des personnes interrogées pensent que les risques de sécurité sont plus élevés dans le nuage que sur site.
Les incidents de sécurité liés au nuage les plus courants rencontrés par les répondants sont :
- Incidents de sécurité durant le fonctionnement (34 %)
- Accès non autorisé (33 %)
- Mauvaises configurations (32 %)
- Vulnérabilités majeures qui n’ont pas été corrigées (24 %)
- Audit échoué (19 %)
Lorsqu’on leur a demandé qui devrait être responsable de la sécurité des applications infonuagiques, il n’y avait toujours pas de consensus clair. Vingt-quatre pour cent des personnes interrogées ont déclaré que la responsabilité devrait être partagée entre les équipes d’exploitation de l’infrastructure infonuagique et les équipes de sécurité de l’entreprise, tandis que 22 % ont déclaré qu’elle devrait être partagée avec plusieurs équipes, suivies par les développeurs écrivant des applications cloud (16 %) et les équipes DevSecOps (14 %).
« Les défis avec les modèles de responsabilité partagée sont que les équipes de sécurité et les équipes de développement ont des buts et des objectifs très différents », explique Venafi. « Les développeurs doivent agir rapidement pour accélérer l’innovation, tandis que les équipes de sécurité n’ont souvent aucune visibilité sur ce que font les équipes de développement. Sans cette visibilité, les équipes de sécurité ne peuvent pas évaluer comment ces contrôles se comparent aux politiques de sécurité et de gouvernance. »
Adaptation et traduction française par Renaud Larue-Langlois.
