Selon la dernière étude Cloud Security Threat Report de Symantec, plus de la moitié des entreprises pendant que l’adoption du cloud va plus vite que l’évolution de la cybersécurité.

Migrer dans le cloud impose d’adapter ses politiques de sécurité à ces nouveaux environnements déportés, ces nouvelles ressources réparties ainsi qu’à ces nouveaux usages du SI étendu. Cela semble évident ? En théorie peut-être… Mais dans la pratique, la cyber-sécurisation de l’adoption du cloud est très en retard sur les usages : 73% des entreprises interrogées par Symantec ont subi un incident de sécurité en raison de pratiques de sécurité obsolètes et inadaptées au cloud !
Autre chiffre significatif, 63% des incidents de sécurité rencontrés par les entreprises ces 12 derniers mois sont survenus dans le cloud !

Le Cloud a introduit de la complexité en étendant le système d’information hors des murs de l’entreprise. Ainsi, selon le rapport CSTR (Cloud Security Threat Report) de Symantec, 49% des responsables interrogés par Symantec admettent que leurs équipes de sécurité sont insuffisantes et inadaptées au flux d’alertes venues du Cloud. Seules 27% des entreprises ont confiance dans leur capacité à adresser les alertes de sécurité du Cloud.
92% estiment avoir besoin de monter en compétence dans la gestion des problématiques propres au cloud et 84% estiment devoir renforcer leurs équipes.

Mais au-delà de cette complexité, le cloud a surtout engendré un manque de visibilité qui nuit à la cybersécurité des données et des ressources. Selon le rapport CSTR, les grandes entreprises pensent en moyenne que leurs collaborateurs exploitent environ 450 applications Cloud. Selon Symantec, ces grandes entreprises en utiliseraient en moyenne plus de 1.800, un écart considérable qui mesure l’étendu du Shadow IT dans les entreprises.
On comprend mieux dès lors, pourquoi 93% des responsables IT et sécurité avouent éprouver des difficultés à surveiller toutes les activités dans le cloud de leur entreprise.
Pourtant, ils ne sont que 30% à considérer que ce manque de visibilité constitue une menace prioritaire (mais la question n’était posée que dans le cadre du IaaS, sur lequel les IT ont en général plus de visibilité que sur le SaaS).

Pour 54% des responsables IT, cette situation inquiétante vient du fait que la maturité des problématiques de sécurité cloud évolue bien plus lentement que la vitesse à laquelle sont déployées les nouvelles applications cloud. Ainsi seuls 10% des responsables estiment être en mesure d’analyser leur trafic cloud correctement. Et 73% des responsables IT pointent l’immaturité des pratiques de sécurité dans le cloud avec en premier l’utilisation de comptes personnels par les collaborateurs et l’absence d’authentification multi-facteurs.

Cette immaturité des collaborateurs quant aux bonnes pratiques explique aussi pourquoi 93% des responsables interrogés estiment que le partage à outrance est devenu un problème majeur : plus d’un tiers des fichiers partagés dans le cloud ne devrait pas s’y trouver selon eux.
Conséquence, 68% des responsables interrogés ont directement constaté ou soupçonnent grâce à quelques indices que les données de leur entreprise ont été ou sont en vente sur le Dark Web !
L’immaturité des pratiques n’est cependant pas l’apanage des collaborateurs : 65% des entreprises n’ont pas déployé d’authentification multi-facteur dans la configuration de leur IaaS et 80% des entreprises n’utilisent pas systématiquement de chiffrement !

Bien sûr, l’ampleur du Shadow IT et l’écart abyssal qui existe entre adoption du cloud et mise en œuvre des bonnes pratiques de sécurité cloud ne sont pas des découvertes. Mais ce rapport CSTR a le mérite de chiffrer l’ampleur des dégâts et de rappeler les priorités à adresser.

Source :
Symantec – Cloud Security Threat Report 2019