Etude de la Cloud Security Alliance : augmentation des défis liés à la sécurité

Skyhigh Networks profite de la RSA Conference pour publier les résultats d’une nouvelle étude : « Custom Applications and IaaS Report ». Conduite en partenariat avec la Cloud Security Alliance (CSA), l’étude analyse la migration massive des applications d’entreprise, depuis les Datacenter vers des plateformes IaaS, telles que Amazon Web Services Cloud (AWS), Microsoft Azure et Google Cloud Platform.

Le rapport s’appuie sur une enquête menée auprès de 314 professionnels chargés du développement, de l’administration et de la sécurité des applications d’entreprise aux Etats-Unis, dans la zone EMEA et Asie Pacifique. Bien qu’ils prévoient une adoption rapide de l’IaaS, les personnes interrogées ont exprimé leurs craintes persistantes face à la question de la sécurité et de la conformité de l’IaaS.

« Les résultats de cette étude mettent en exergue les défis que doivent relever les entreprises en matière de sécurité informatique face à l’explosion du Cloud » explique Jim Reavis, PDG de la Cloud Security Alliance. « Des applications d’entreprise aux infrastructures jusqu’aux équipes responsables de la gestion de l’ensemble, la sécurité devient un dénominateur commun »  

Principaux résultats de l’étude :

Chaque entreprise est un éditeur de logiciels

Toutes les entreprises développent leurs propres applications, que ce soit pour leurs employés, leurs partenaires ou leurs clients. Une entreprise moyenne exécute 464 applications personnalisées et ce chiffre devrait augmenter de 20,5 % dans les douze prochains mois. Pourtant, le département informatique n’a connaissance que de 38,4 % d’entre elles, ce qui constitue une nouvelle source d’informatique cachée en forte progression (Shadow IT). La prévention des atteintes à la sécurité représente un enjeu considérable : 72,7 % des entreprises possèdent une application qui, en cas d’interruption, aurait de graves répercussions sur leur activité.

Une année charnière pour le Cloud

L’adoption du Cloud s’accélère avec une croissance du SaaS dix fois supérieure à la croissance de l’IT en général et à la croissance de l’IaaS vingt fois supérieur à la croissance de l’IT en général. En 2017, la majorité des ressources informatiques quitteront pour la première fois le datacenter et l’adoption de l’IaaS atteindra son point culminant. Aujourd’hui, un peu plus de la moitié (60,9 %) des applications sont hébergées dans les Datacenter, un chiffre qui devrait passer à 46,2 % au cours des douze prochains mois dans la mesure où les entreprises continuent à migrer leurs applications vers des plates-formes IaaS publiques. Les deux principaux motifs de migration vers le Cloud sont l’évolutivité et les coûts, et la majorité (62,9 %) des personnes interrogées pensent qu’une infrastructure de Cloud public est globalement autant sécurisée, si ce n’est plus, que leurs propres Datacenter.

Vulnérabilité des applications face aux dangers de l’IaaS

Malgré l’adoption croissante des plates-formes IaaS, la transition vers le Cloud constitue, pour les départements chargés de la sécurité informatique, un parcours semé d’embûches, avec une multitude de nouvelles menaces et difficultés à surmonter. Selon le modèle de partage des responsabilités du Cloud, les fournisseurs d’IaaS sont tenus d’assurer la sécurité de la plate-forme contre les intrusions, mais l’entreprise cliente est seule responsable de la sécurité des données sensibles. Autrement dit, elle doit se protéger contre la compromission des identifiants de connexion, les administrateurs malveillants et les infractions à la réglementation. Ces défis sont d’autant plus urgents que 46 % des applications critiques sont déjà hébergées dans un Cloud public ou hybride et que la mise en application du règlement européen sur la protection des données (GDPR) est proche.

Les cadres dirigeants dans le collimateur

Actuellement, les entreprises ne disposent pas de l’expertise ni des outils nécessaires pour protéger efficacement les environnements IaaS : 64 % des personnes interrogées sont moyennement ou très préoccupées par la sécurité des applications internes déployées dans le Cloud. Cette zone à risque émergente mérite l’attention des cadres dirigeants. Des cyberattaques très médiatisées ont récemment montré que les conseils d’administration rejetaient la responsabilité finale des préjudices financiers d’une attaque sur les cadres dirigeants, et 29,1 % des personnes interrogées estiment que le directeur informatique et le RSSI devraient être licenciés en cas d’attaque majeure d’une application. Plus de la moitié (50,3 %) considèrent que le directeur de la sécurité informatique responsable de l’application devrait être démis de ses fonctions. Les développeurs d’applications sont ceux qui risquent le moins d’être congédiés et seules 23,3 % des personnes interrogées se disent inquiètes de la sécurité des applications, jugeant que le département chargé de la sécurité informatique doit prendre l’initiative d’évaluer la sécurité de l’IaaS pour les applications.

« L’évolution du datacenter s’accélère : les entreprises placent désormais leurs applications chez des fournisseurs de cloud public », déclare Rajiv Gupta, PDG de Skyhigh Networks. « Pour que les entreprises puissent relever les défis propres au Cloud sur le plan de la sécurité, de la conformité et de la gouvernance, Skyhigh étend les fonctionnalités de sa plateforme CASB afin de sécuriser les applications déployées dans les environnements IaaS ».