Instaurer la confiance dans le cloud - Rapport...RAPPR 3 Instaurer la confiance dans le cloud C'est...

1 Instaurer la confiance dans le cloud

RAPPORT

Le point sur l'adoption et la sécurité du cloud

Instaurer la confiance dans le cloud


RAPPORT

Sommaire

5 Introduction6 Méthodologie et données démographiques7 Résultats de l'étude7 Les architectures de clouds privés en recul face aux

modèles hybrides10 La stratégie de priorité au cloud absorbe les budgets

informatiques10 Le cloud public l'emporte sur le cloud privé en termes

d'avantages perçus11 Une pénurie de compétences qui freine l'adoption

du cloud11 Les données sensibles se déplacent vers le cloud public13 La sécurité intégrée, une protection plus efficace des

données sensibles13 Les cadres dirigeants comprennent mieux les risques

et les avantages14 Les services PaaS connaissent un essor plus rapide

que le SaaS ou l'IaaS14 La probabilité d'être infecté par un logiciel malveillant

à partir d'une application SaaS dépasse 50 %

15 Les inquiétudes et problèmes suscités par les fournisseurs de services de cloud

16 La protection des données en transit, principale préoccupation pour les services SaaS

16 La sécurité intégrée, la priorité pour les services IaaS17 Les mesures à prendre pour stimuler l'adoption du

cloud public17 Le danger croissant de l'informatique de l'ombre18 Les méthodes pour détecter l'informatique de l'ombre19 Les méthodes pour sécuriser l'informatique de l'ombre19 L'infrastructure du centre de données évolue vers le

véritable cloud privé21 L'accès non autorisé, principal problème des clouds privés21 Le DevSecOps, un gain d'efficacité pour les équipes

de sécurité22 Conclusion22 Recommandations24 À propos de McAfee

RAPPORT


C'est avec grand plaisir que je rédige ici l'avant-propos de ce rapport de McAfee, Instaurer la confiance dans le cloud. Fondé sur une enquête menée auprès d'un panel diversifié de professionnels du monde entier, il est riche d'enseignements sur les progrès réalisés en matière d'adoption du cloud et sur les principaux enjeux de sécurité. La lecture de ce rapport sera d'une aide précieuse pour les responsables de la sécurité. Elle leur permettra d'adopter une approche centrée sur les données pour migrer vers le cloud en toute sécurité. Je ne peux que les encourager à lire attentivement ces conclusions et à les diffuser hors de leur département, pour informer leur direction ainsi que les autres décideurs et parties prenantes.

Ce rapport reflète bien les témoignages recueillis lors des voyages que j'ai effectués l'an dernier en tant que représentant de la Cloud Security Alliance. L'adoption du cloud à grande échelle est en marche, tout comme sa progression vers la maturité. Et la tendance n'est pas au statu quo mais, bien au contraire, au dynamisme. Les nouvelles technologies de cloud foisonnent, quantité de nouveaux fournisseurs font leur entrée sur le marché et des acteurs clés le quittent. Il existe néanmoins une constante : il appartient clairement aux utilisateurs des services de cloud de bien comprendre le rôle qu'ils ont à tenir pour assurer au cloud la meilleure sécurité possible, indispensable par ailleurs. Cette sécurité exige des formations adaptées et les bons outils. Pour chaque entreprise, ils constituent un rempart contre les menaces émanant du cloud, dont les vecteurs évoluent sans cesse.

Je m'attends à ce que le cloud connaisse plusieurs tournants majeurs d'ici à la fin de l'année 2017. Les microservices tels que les conteneurs et les API s'imposeront largement comme des solutions importantes pour multiplier les avantages des machines virtuelles. Le concept DevSecOps fera beaucoup parler de lui dans le secteur de la sécurité informatique. Plusieurs organismes de réglementation stratégiques feront l'annonce de nouvelles règles et conventions qui faciliteront l'adoption du cloud pour les fournisseurs comme pour les clients. En clair, l'adoption du cloud va se poursuivre et évoluer, et les professionnels de la sécurité doivent se préparer aux changements à venir. Les points de référence que présente cette étude en matière de sécurité du cloud vous aideront à progresser en toute confiance.

Jim Reavis [email protected] PDG, Cloud Security Alliance

Avant-propos

RAPPORT


Priorité au cloud. Ces quelques mots résument très bien une approche désormais solidement ancrée dans l'architecture de nombreuses entreprises à travers le monde. Notre étude de 2015 présentait plusieurs conclusions très intéressantes, mais l'une des plus frappantes était que les responsables informatiques interrogés estimaient qu'il faudrait en moyenne 16 mois pour que 80 % de leur budget informatique soit consacré à des solutions de cloud. Lorsque nous avons conçu cette enquête, notre hypothèse de départ était qu'il existait un décalage entre l'intention et l'implémentation, et que la transformation pour parvenir à un modèle cloud prendrait plusieurs années. Cette hypothèse s'est vue contredite par les faits. De toute évidence, une transition rapide vers le cloud compte parmi les priorités de la plupart des entreprises. Cette année, les répondants ont estimé à 15 mois la durée moyenne nécessaire pour que 80 % de leur budget informatique soit alloué au cloud. En d'autres termes, de nombreuses entreprises orientent de plus en plus leur stratégie vers le cloud et entendent bien continuer sur cette voie.

Tout n'est pas rose pour autant. Notre enquête montre clairement que la pénurie de compétences en cybersécurité fait obstacle à l'adoption du cloud dans les entreprises de toutes tailles. Les inquiétudes concernant le manque de confiance dans les clouds publics révélées par les réponses de l'enquête de 2015 semblent se dissiper, tandis que des considérations plus pratiques passent à présent au premier plan. En outre, il apparaît que les cadres dirigeants comprennent mieux les risques induits par le stockage des données sensibles sur les clouds de fournisseurs tiers.

L'une des raisons qui explique la priorité accordée à l'adoption du cloud est que le nombre d'incidents de sécurité diminue. À nouveau, des problèmes plus pratiques prédominent, tels que l'interopérabilité, le manque de transparence des mouvements de données et les opérations de cloud public. Par rapport à l'an dernier, les professionnels informatiques interrogés n'ont plus le sentiment que le cloud n'est pas fiable, mais appréhendent mieux ses avantages potentiels. Autre résultat encourageant : les départements informatiques ont fait des progrès dans la manière dont ils expliquent les risques non seulement à la direction, mais à tous les échelons de l'entreprise. Les avantages offerts par les clouds publics sont mis à profit, la principale motivation étant que l'externalisation s'avère plus intéressante sur le plan des coûts qu'un hébergement en interne.

Nous nous orientons vers un monde où la quasi omniprésence du cloud nous confronte à des problèmes d'ordre pratique qui risquent de ralentir son adoption. Ces problèmes doivent être résolus, et des recherches telles celles réalisées par la Cloud Security Alliance peuvent aider les entreprises à identifier les meilleures pratiques. Des progrès remarquables ont été accomplis ces 12 derniers mois, mais les secteurs du cloud et de la sécurité entament à présent une nouvelle phase qui nécessitera des efforts.

Raj Samani @Raj_Samani Directeur des Technologies, EMEA, McAfee

Préface

https://twitter.com/Raj_Samani

RAPPORT


Instaurer la confiance dans le cloudLe point sur l'adoption et la sécurité du cloud

IntroductionIl ne fait aucun doute que les services de cloud ont été acceptés comme une solution informatique efficace et durable pour les entreprises. Plus de 90 % des 2 000 responsables de la sécurité du cloud interrogés déclarent que leur entreprise utilise une forme ou l'autre de service de cloud et, pour beaucoup, poursuit une stratégie de priorisation du cloud.

Il existe divers types et modèles de clouds. Bien qu'ils offrent aux entreprises des économies et une plus grande flexibilité, ils imposent néanmoins un changement technologique qui draine une partie des ressources informatiques. L'une des priorités de l'étude de cette année est d'analyser l'impact du déficit de compétences en sécurité sur l'adoption du cloud. Nous avons en outre demandé aux répondants de fournir des informations plus précises sur l'architecture d'exploitation, les types de services utilisés et les préoccupations récurrentes. Les objectifs généraux de cette étude sont les suivants : identifier les types d'architectures et de services de cloud que les entreprises utilisent, comprendre les problèmes de sécurité auxquels elles font face et comment les résoudre, et analyser les pratiques liées à l'informatique de l'ombre de même que leur impact sur l'adoption des services de cloud.

Nous avons demandé aux participants d'indiquer les types de services de cloud qu'ils utilisaient en choisissant une ou plusieurs des trois options suivantes :

■ SaaS (Software-as-a-Service), p. ex. Salesforce, Dropbox ou DocuSign

■ IaaS (Infrastructure-as-a-Service), p. ex. Amazon Web Services ou Microsoft Azure

■ PaaS (Platform-as-a-Service), p. ex. Google App Engine ou Red Hat OpenShift

Nous les avons également interrogés sur le type d'architecture de cloud utilisée dans leur entreprise, avec une seule réponse possible :

■ Cloud privé ■ Cloud hybride, c'est-à-dire une combinaison

de cloud public et privé ■ Cloud public

Le succès rencontré par les services de cloud est sans doute majoritairement dû au fait que la perception des clouds publics comme un lieu sûr pour le stockage des données sensibles se renforce, et que cette tendance s'accélère. Que ce soit pour y stocker des données sensibles ou travailler en toute sécurité, les clouds publics inspirent de plus en plus confiance. De plus, les risques que pose leur utilisation sont désormais bien compris par la majorité des cadres dirigeants. La plupart des entreprises utilisent à présent une architecture hybride de cloud privé/public et réduisent le nombre de leurs services de cloud en les consolidant, généralement en se tournant vers des fournisseurs de premier plan.

93 % des entreprises utilisent des services de cloud sous une forme ou l'autre.

49 %des répondants ont ralenti leur adoption du cloud en raison d'un manque de compétences en cybersécurité.

74 %des entreprises stockent une partie ou la totalité de leurs données sensibles dans des clouds publics.

73 %des entreprises migreront vers un centre de données entièrement défini par logiciel (SDDC) dans les deux ans.

65 %des responsables informatiques estiment que le cloud de l'ombre interfère avec leur capacité à garantir la sécurité du cloud.

52 %C'est le taux de probabilité d'être infecté par un logiciel malveillant à partir d'une application de cloud.


RAPPORT

Face au déficit de compétences en cybersécurité, la moitié des entreprises participant à cette enquête ont ralenti leurs projets d'adoption du cloud, ce qui a probablement entraîné une multiplication des services informatiques non approuvés par les départements informatiques (informatique de l'ombre). De plus en plus, les équipes informatiques collaborent avec les utilisateurs pour rechercher des solutions acceptables et les sécuriser, au lieu de simplement les bloquer. Les uns comme les autres peuvent s'en réjouir, mais cela ne fait qu'ajouter à la charge des équipes de sécurité. Pour les entreprises qui font du cloud leur priorité informatique, le fait de se tourner vers des solutions de sécurité intégrées ou unifiées pour améliorer leur visibilité et réduire leurs délais de réponse simplifie la détection et la neutralisation des menaces, de même que la protection de leurs données.

Méthodologie et données démographiquesEn septembre 2016, dans le cadre de son étude annuelle sur la sécurité du cloud, McAfee a interrogé 2 009 professionnels, choisis dans une base de données externe de décideurs informatiques et techniques de façon à représenter un large éventail de pays, tailles d'entreprises et secteurs, et plus particulièrement la santé et les services financiers. Après élimination de ceux qui n'utilisaient pas de services de cloud ou qui n'étaient pas directement impliqués dans la prise de décisions liées à la sécurité dans le cloud, 1 400 responsables techniques ont pris part à l'étude. Les résultats permettent de dresser un état des lieux précis de l'adoption du cloud et de sa sécurité.

États-Unis

Royaume-Uni

Singapour

Mexique

Japon

Allemagne

Conseil de coopération du Golfe (CCG)*France

Canada

Brésil

Australie

25 %

9 %

7 %

5 %7 %

9 %

9 %

9 %

6 %

7 %

7 %

* Les pays du CCG concernés par l'enquête sont l'Arabie saoudite et les Émirats arabes unis.

Figure 1. Répondants par pays

Plus de 5 000 employés

De 1 001 à 5 000 employés

De 501 à 1 000 employés

17 %

55 %

28 %

Figure 2. Répondants par taille d'entreprise


RAPPORT

Administrations

Assurances

Enseignement

Fabrication

Finance (assurances exclues)

Grande distribution,transport et logistique

Ingénierie

Logiciels et technologies

Médias et divertissementsServices (dont les services

hôteliers et les loisirs)Services d'utilité publique

(énergie, pétrole et gaz,eau et électricité)

Soins de santé

Télécommunications

2 %

4%

3%

4%

9%

20%

9%

6%

14%

1%

3%

20%

6%

Figure 3. Répondants par secteur d'activité

Administrateur des systèmes/opérations réseau

Analyste en sécurité

Autre (veuillez préciser)

ConsultantDirecteur/Resp. de la

sécurité informatiqueDSI

Ingénieur informatiqueIngénieur système pour le cloudResp. administration/opérations

des postes de travailResp. de l'architecture de cloud

Resp. de l'architecture de sécurité

Resp. des opérations de sécuritéResp. des services de cloud

Resp. développement/opérations (DevOps)

Resp. du centre d'assistance

Resp. du réseau

Resp. informatique

RSSI, directeur de la sécurité

VP/directeur du réseau

3%

2%

1%3%

9%

16%

9%

1%

3%

1%1%

2%

3%

1%

3%

7%

28%

4%

3%

Figure 4. Répondants par fonction

Résultats de l'étudeLes architectures de clouds privés en recul face aux modèles hybridesL'an dernier, les architectures de cloud ont connu un changement radical, les clouds hybrides prenant largement le dessus sur le modèle tant privé que public. La proportion d'entreprises qui utilisent une architecture de cloud privé a fortement chuté, passant de 51 % l'année dernière à seulement 24 % cette année. Les architectures de cloud public ont elles aussi connu un net déclin, de 30 % à 19 % à peine. Ces résultats sont en partie attribuables au plus haut pourcentage d'entreprises de plus de 1 000 employés interrogées dans le cadre de cette enquête. En effet, les petites et moyennes entreprises sont plus susceptibles d'utiliser des applications SaaS.

2015

9 %

37 %

26 %

28 %

2016

17 %

55 %

28 %



De 251 à 500 employés


Figure 5. Répondants par taille d'entreprise et par année


RAPPORT

La majorité des entreprises interrogées (57 %) sont dotées d'une architecture de cloud hybride, mêlant les modèles privé et public, ce qui représente une forte hausse par rapport à l'an dernier (19 %). Cette évolution vers l'architecture hybride s'est accompagnée d'une diminution considérable du nombre de services de cloud utilisés par les entreprises (de 43 en 2015 à 29 à peine en 2016) — les entreprises ayant tendance à consolider leurs services et applications de cloud. Globalement, 93 % des entreprises interrogées utilisent une forme ou l'autre de service de cloud.

2015

51 %

19 %

30 %

2016

24 %

57 %

19 %

Privé

Hybride

Public

Figure 6. Quel type d'architecture de cloud votre entreprise utilise-t-elle actuellement ? (résultats regroupés par année)

D'après les résultats de l'enquête, c'est au Japon que l'adoption des services de cloud est la moins forte, 23 % déclarant ne pas les utiliser du tout. La confiance ne semble pas être un facteur, puisque les répondants japonais ne sont pas moins confiants à l'égard des clouds publics que la moyenne. La raison la plus probable est liée au personnel responsable de la sécurité, car les Japonais

sont essentiellement préoccupés par les compétences de l'équipe informatique en matière de cybersécurité.

Les résultats par secteur révèlent que l'utilisation des services de cloud est la plus faible dans les administrations et organismes publics (27 %) et les établissements d'enseignement (19 %). Il semble que ceci soit lié à un manque de confiance et de contrôle dans les deux secteurs. Les administrations sont les moins enclines à considérer que leurs données sont en sécurité dans les clouds publics. Les établissements d'enseignement doutent quant à eux de leur capacité à se protéger des pirates. Dans les deux secteurs, la capacité à garder le contrôle de l'accès et des identités suscite des inquiétudes.

Le secteur de l'ingénierie est celui qui utilise le plus les clouds privés (30 %), principalement pour des raisons de conformité. Les administrations publiques le suivent de près (29 %), dont les réticences sont liées au manque de confiance et de contrôle, mentionné précédemment. C'est auprès des entreprises de services que les infrastructures de cloud privé rencontrent le moins de succès (16 %), en raison des préoccupations liées aux compétences en cybersécurité. Le secteur des médias se classe avant-dernier (17 %), ces entreprises déplorant une visibilité insuffisante sur leur niveau de sécurité.

Le modèle de cloud public rencontre le plus grand succès auprès des entreprises de services (28 %). En dernière position, le secteur des assurances (9 %). Juste avant, on trouve la grande distribution (12 %), ce qui semble logique car ce secteur hautement compétitif accorde une grande importance au facteur des coûts. Le problème majeur pour les compagnies d'assurances est la conformité, et particulièrement le fait que les fournisseurs de services de cloud installent leurs centres de données et banques de données hors du pays où ils exercent leurs activités.


RAPPORT

Administrations

Assurances

Enseignement

Fabrication

Finance (assurances exclues)

Grande distribution,transport et logistique

Ingénierie

Logiciels et technologies

Médias et divertissementsServices (dont les services

hôteliers et les loisirs)Services d'utilité publique

(énergie, pétrole et gaz,eau et électricité)

Soins de santé

Télécommunications

Privé Hybride Public

18%54%29%

9%73%18%

26% 19%54%

16%65%19%

18%56%26%

21%59%20%

15%56%30%

28%56%16%

25%58%17%

13%66%21%

21%62%18%

24%50%26%

23%50%27%

Figure 7. Quel type d'architecture de cloud votre entreprise utilise-t-elle actuellement ? (résultats regroupés par secteur)

Passons à présent à une analyse géographique. Les taux d'utilisation de cloud privé restent les plus élevés en Arabie saoudite et aux Émirats arabes unis (pays du CCG) (30 %) et au Mexique (28 %). Les entreprises du CCG interrogées sont bien plus préoccupées que la moyenne par les coûts des clouds publics et par la capacité des fournisseurs de services de cloud à respecter les accords de niveau de service (SLA). Au Mexique, la question du respect des SLA pose également problème, mais la principale crainte concerne la protection des données sensibles qui circulent entre l'entreprise et le cloud, beaucoup plus que pour le reste du groupe (54 % contre 34 %). Le Japon enregistre la plus faible utilisation des clouds privés (seulement 7 %) car, encore une fois, il affiche une préoccupation plus marquée que la moyenne à l'égard du manque de compétences en sécurité.

Allemagne

Australie

Brésil

Canada

CCG

États-Unis

France

Japon

Mexique

Royaume-Uni

Singapour

Privé Hybride Public

21%65%14%

25% 33%42%

4%74%

32%47%

22%

21%

20%50%30%

23%54%23%

15%54%30%

25%68%7%

8%64%28%

18%57%25%

10%68%22%

Figure 8. Quel type d'architecture de cloud votre entreprise utilise-t-elle actuellement ? (résultats regroupés par pays)

Les taux d'utilisation de clouds publics demeurent les plus élevés en Australie (33 %) et au Canada (32 %). Les Australiens redoutent principalement les difficultés liées à la mise en place de contrôles de sécurité cohérents couvrant à la fois les infrastructures traditionnelles et virtuelles. Pour les Canadiens, c'est assurer la conformité des différents services de cloud hybride qui pose le plus problème. Le Brésil (4 %) arrive en queue de peloton, juste après le Mexique (8 %) et le Royaume-Uni (10%). Les architectures de cloud hybride enregistrent le plus fort taux d'utilisation auprès des Brésiliens (74 %). Les entreprises mexicaines sont de ferventes adeptes des clouds privés, comme nous l'avons mentionné précédemment. Au Royaume-Uni, les clouds publics sont peu utilisés, essentiellement en raison d'un manque de confiance. Ils y reçoivent l'opinion la plus défavorable quant à leur capacité à assurer le contrôle des identités et de l'accès et à protéger les données de l'entreprise contre les pirates.


RAPPORT

La stratégie de priorité au cloud absorbe les budgets informatiquesPlus de 80 % des entreprises interrogées déclarent poursuivre une stratégie de priorisation du cloud, de sorte qu'elles privilégient les applications vendues sous forme de service ou pouvant être déployées dans le cloud, sans nécessiter de matériel, systèmes et serveurs physiques à installer dans le centre de données. Ces entreprises estiment que les services de cloud représenteront 80 % de leur budget informatique dans un délai de moins de 12 mois, alors qu'il est plus proche des 20 mois pour celles qui n'accordent pas la priorité au cloud.

Le cloud continue d'afficher des taux d'adoption et d'investissement considérables, mais globalement, les entreprises ne semblent pas près d'atteindre ce seuil de 80 %. Ce délai est passé de 16 mois en moyenne l'an dernier à 15 cette année, ce qui dénote un excès d'optimisme de la part des répondants de l'an dernier. Les entreprises britanniques, méfiantes à l'égard des clouds, affichent l'évolution la plus marquée par rapport à l'an dernier, le délai passant de 28 à 21 mois. En d'autres termes, elles se sentent progressivement plus à l'aise avec le cloud, mais elles n'en demeurent pas moins à la traîne selon cette étude. Les Allemands, peu favorables au cloud l'an dernier avec un délai de 18 mois, se sont rapprochés de la moyenne de cette année ; ils prévoient désormais qu'il leur faudra 16 mois pour que leur informatique repose essentiellement sur le cloud. Les Australiens estiment à présent que leur migration vers le cloud prendra un peu plus longtemps (13 mois contre 11 l'an dernier). Mais un point est particulièrement marquant : le pourcentage

de professionnels informatiques qui ne pensent pas que la part de leur budget informatique consacrée au cloud atteindra 80 % s'est réduit de moitié, passant de 12 % en 2015 à seulement 6 % en 2016.

25

20

30

15

10

5

0États-Unis Canada Royaume-Uni Brésil AustralieAllemagneFrance

1416

151415

14

28

21

1113

16

18

12 12

28

Moi

s

2016

2015

Figure 9. Délai moyen (en mois) à l'issue duquel les répondants estiment que 80 % du budget informatique de leur entreprise sera alloué à des services de cloud (résultats regroupés par pays, seuls les pays inclus dans les études 2015 et 2016 étant comparés)

Le cloud public l'emporte sur le cloud privé en termes d'avantages perçusSelon toute vraisemblance, les clouds publics bénéficient d'une image de plus en plus positive. De manière générale, les répondants considèrent que ceux-ci sont plus susceptibles d'offrir les principaux avantages ci-après que les clouds privés. Selon la majorité d'entre eux, il est plus probable qu'un cloud public garantisse une réduction des coûts totaux (59 %), une meilleure visibilité sur leurs données (54 %) et une protection de leurs données (51 %). Nos répondants estiment que les données sont aussi à l'abri des pirates dans un cloud public que lorsqu'elles sont hébergées dans leur cloud privé.


RAPPORT

Coût total depossession réduit

Visibilité sur les donnéesde votre entreprise

Protection des donnéesde votre entreprise

Utilisation d'unetechnologie éprouvée

Gestion du contrôle del'accès et des identités

Protection contre lespirates informatiques

59 % 19 %22 %

26 %20 %

37 %11 %

54 %

51 %

51 % 25 %24 %

34 %20 %

40 %19 %

46 %

41 %

Plus de chances de les obtenir avec un cloud public

Aucune différence

Plus de chances de les obtenir avec un cloud privé

Figure 10. Parmi les avantages ci-dessous, lesquels votre entreprise a-t-elle plus de chances d'obtenir avec un cloud public et lesquels avec un cloud privé ?

Une pénurie de compétences freine l'adoption du cloudLe déficit persistant de compétences en sécurité continue de faire obstacle aux déploiements cloud. Près de la moitié des entreprises déclarent que le manque de personnel qualifié en cybersécurité a ralenti l'adoption ou l'utilisation des services de cloud, ce qui a pu favoriser la progression de pratiques liées à l'informatique de l'ombre. Par ailleurs, 36 % des entreprises font elles aussi état d'un déficit de compétences, mais déclarent que cela ne les empêche pas de poursuivre leurs projets cloud. Seules 15 % indiquent ne pas être confrontées à ce problème.

Le Japon, le Mexique et les pays du CCG interrogés sont les plus touchés par la pénurie de compétences, tout comme les secteurs de l'ingénierie et des télécommunications. Ce sont les entreprises du secteur de l'ingénierie qui ont le plus souvent ralenti leurs projets d'adoption du cloud

en raison d'un manque de compétences en sécurité, cette difficulté étant signalée par 60 % d'entre elles.

Les grandes entreprises sont moins susceptibles de souffrir d'un déficit de compétences et donc d'avoir bridé leurs projets d'adoption du cloud.

Non, nous ne connaissons pas de

pénurie de compétences en sécurité informatique

De 1 001 à 5 000 employés Plus de 5 000 employésDe 501 à 1 000 employés

14 %

23 %

13 %

Non, nous continuonsà adopter/utiliser le cloud

malgré un manque decompétences en cybersécurité

39 %38 %35 %

Oui, nous avons mis un freinà l'adoption/l'utilisation du

cloud en raison d'un manque decompétences en cybersécurité

47 %

39 %

51 %

Figure 11. Votre entreprise est-elle confrontée à une pénurie de compétences en cybersécurité qui entrave l'utilisation du cloud ? (résultats regroupés par taille d'entreprise)

Les données sensibles se déplacent vers le cloud publicUn élément indique clairement l'amélioration de la perception du cloud public : le fait qu'une entreprise veuille y stocker ses données sensibles ou confidentielles. Près de 85 % des professionnels interrogés déclarent stocker une partie ou la totalité de leurs données sensibles dans le cloud public. Près d'un quart (23 %) ont totalement confiance dans sa capacité à garantir la sécurité de leurs données, ce qui représente une forte augmentation par rapport à 2015 (13 %). De plus, la proportion de répondants qui éprouvent de la méfiance à l'égard des clouds publics a reculé, de 50 % à 29 %.


RAPPORT

Pas du tout Un peu Modérément Entièrement

Cloud public – 2016Cloud public – 2015

19 %

13 %

23 %

4 %

25 %

31 %

37 %

48 %28

Figure 12. Dans quelle mesure faites-vous confiance aux modèles suivants pour assurer la sécurité de vos données sensibles ?

Ce gain de confiance semble encourager les entreprises à stocker davantage de données sensibles dans les clouds publics, 25 % d'entre elles stockant la totalité de celles-ci dans le cloud et 59 % une partie. Seules 16 % des entreprises ne stockent aucune donnée sensible dans les clouds publics. Ce phénomène est le plus rare au Canada (5 %) et le plus fréquent en France (28 %), en Australie (27 %) et au Royaume-Uni (26 %).

Non, aucune

Oui, une partie

Oui, la totalité

16 %

59 %

25 %

Figure 13. Votre entreprise utilise-t-elle son service de cloud public pour y stocker ses données sensibles ?

Les données qui sont le plus souvent stockées dans le cloud sont les informations personnelles des clients. Ce résultat est vraisemblablement en partie attribuable aux modèles d'entreprises en ligne. En effet, les entreprises de secteurs où la proportion de transactions en ligne est importante sont les plus susceptibles de stocker les données relatives à leurs clients dans le cloud public. C'est le cas notamment des services d'utilité publique (79 %), des services (73 %), des assurances (65 %) et de la finance (64 %). Les administrations et organismes publics sont plus susceptibles de conserver dans le cloud les informations sur leur personnel (66 %) plutôt que les informations sur leurs clients (59 %). Sans surprise aucune, les entreprises du divertissement et des médias arrivent en tête pour ce qui est de conserver sur le cloud public les informations d'entreprise internes et propriétaires. Il s'agit entre autres de leurs offres de produits et de services, telles que musiques, vidéos et autres contenus.


RAPPORT

Informations personnellessur les clients

Informations personnellessur le personnel

Documents internes

Documents propriétairesde l'entreprise

Données sur la concurrence

Mots de passe réseau

62 %

51 %

48 %

47 %

32 %

30 %

Figure 14. Quels types de données sensibles votre entreprise stocke-t-elle sur ses services de cloud public ?

La sécurité intégrée, une protection plus efficace des données sensiblesLe stockage des données sensibles dans le cloud change la donne en matière de risques et de responsabilités pour l'équipe de sécurité, l'obligeant potentiellement à se servir d'un large éventail d'outils sur différentes plates-formes de cloud. Pour s'adapter à ce modèle d'exploitation toujours plus répandu, les fournisseurs de solutions de sécurité augmentent les niveaux d'intégration entre les outils et les différents fournisseurs. Les responsables des opérations de sécurité ont à présent la possibilité d'acheter des outils qui sont en partie ou totalement intégrés à leurs services de cloud privé et public, ou une solution de sécurité unifiée offrant une vue globale et centralisée. Il semble que les améliorations en termes de visibilité et de délais de réponse apportées par ces niveaux d'intégration accrus renforcent considérablement la confiance des équipes de sécurité et encouragent les entreprises à stocker leurs données sensibles dans le cloud public. Plus forte est l'intégration de sa solution de sécurité avec les différents environnements de cloud, plus l'entreprise est encline à stocker une partie ou la totalité de ses données sensibles sur un service de cloud public.

Non, aucune

Intégration partielle

Intégration complète

Solution de sécurité unifiéePas d'intégration

8 %

40 %

27 %

Oui, une partie

2 %

50 %

21 %

Oui, la totalité

4 %

37 %

12 %

25 % 27 %

47 %

Figure 15. Votre entreprise utilise-t-elle son service de cloud public pour y stocker ses données sensibles ? (résultats répartis par niveau d'intégration des solutions de sécurité)

Les cadres dirigeants comprennent mieux les risques et les avantagesLes cadres dirigeants appréhendent mieux les risques liés aux clouds publics. En effet, 86 % d'entre eux comprennent parfaitement ou globalement les risques engendrés par le stockage de données sensibles dans le cloud public (contre 80 % l'an dernier).

2015

2016

34 % 18 %2 %

46 %

12 %45 %41 %

Ils comprennent parfaitement que le stockage de données sensibles dans le cloud public peut exposer l'entreprise à des risques accrus.

Ils comprennent dans l'ensemble que le stockage de données sensibles dans le cloud public peut exposer l'entreprise à des risques accrus

Ils comprennent plus ou moins que le stockage de données sensibles dans le cloud public peut exposer l'entreprise à des risques accrus.Ils ne savent pas du tout que le stockage de données sensibles dans le cloud public peut exposer l'entreprise à des risques accrus.

2 %

Figure 16. Pensez-vous que les cadres dirigeants / la direction de votre entreprise comprennent les risques de sécurité accrus associés au stockage de données sensibles dans le cloud public ?


RAPPORT

Les directeurs des systèmes d'information et autres cadres dirigeants qui ont participé à l'étude sont plus susceptibles d'avoir opté pour une stratégie de priorisation du cloud et s'attendent à ce que celui-ci représente 80 % de leur budget dans les 12 mois. Ils sont également conscients de la pénurie de compétences en sécurité et de son incidence sur leur taux d'adoption du cloud. Pour atténuer les problèmes de personnel, il est plus probable qu'ils utilisent une solution de sécurité intégrée ou unifiée, et ont mis en place dans leur département informatique central des fonctions DevSecOps, afin de placer la sécurité au cœur des processus de développement et opérationnels. Les entreprises chez qui les cadres dirigeants sont plus impliqués sont les plus susceptibles de disposer d'une architecture hybride associant plusieurs types de services. Parmi ces entreprises, la proportion de celles qui stockent des données sensibles de tous types dans le cloud public est plus importante. De même, la volonté d'investir davantage dans tous types de services de cloud public est beaucoup plus marquée.

Les services PaaS connaissent un essor plus rapide que le SaaS ou l'IaaSLes services de cloud sont essentiellement proposés sous trois formes : SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) et PaaS (Platform-as-a-Service). Les entreprises peuvent opter pour n'importe quelle combinaison de ces options, à la fois dans leurs variantes de clouds privé et public.

La transition vers une architecture hybride s'est accompagnée d'une forte augmentation du nombre d'entreprises qui ajoutent les services PaaS à leurs déploiements cloud. Résultat : les services PaaS sont

à présent utilisés par 40 % des entreprises interrogées, contre 21 % l'an dernier. Il existe un lien étroit entre les services PaaS et l'architecture de cloud hybride. De fait, plus de la moitié des entreprises dotées d'une telle architecture utilisent également des services PaaS. Pour cette année, les projets d'investissement dans les services de cloud se répartissent comme suit : 66 % pour le SaaS, 64 % pour l'IaaS et 59 % pour le PaaS — des chiffres qui concordent avec leurs niveaux d'utilisation respectifs.

2015

67 %

64 %

21 %

2016

69 %

59 %

40 %

SaaS

IaaS

PaaS

Figure 17. Quels services de cloud votre entreprise utilise-t-elle actuellement ? (résultats regroupés par année)

La probabilité d'être infecté par un logiciel malveillant à partir d'une application SaaS dépasse 50 %Plus de la moitié des personnes interrogées déclarent avoir relié au moins un incident associé à un logiciel malveillant à une application SaaS. Les applications SaaS viennent allonger la liste des vecteurs permettant aux malwares d'infiltrer les réseaux et les systèmes.


RAPPORT

Oui

Non

52 % 48 %

Figure 18. Vous est-il arrivé, lors de l'analyse d'un incident, de déterminer de manière concluante que le logiciel malveillant s'était introduit dans l'entreprise via du contenu extrait d'une application de cloud (SaaS) telle que Dropbox, Office 365, etc. ?

Les inquiétudes et problèmes suscités par les fournisseurs de services de cloudPour les entreprises, les problèmes liés aux pertes de données imputables à leurs fournisseurs de services de cloud persistent. Alors que l'incidence des compromissions effectives a légèrement décliné, les accès non autorisés aux données ou aux services ont baissé de moitié, pour atteindre 10 %, et le vol d'identifiants a lui aussi reculé, passant de 13 % à 10 %. Ces progrès pourraient être liés au fait que les entreprises réduisent le nombre de services et d'applications de cloud qu'elles utilisent. Cette réduction s'effectue par une consolidation, les entreprises se tournant essentiellement vers des fournisseurs de services de premier plan, qui gagnent des parts de marché au détriment des fournisseurs plus modestes. Ces leaders, comme Amazon, Microsoft, Google et Salesforce, ont progressivement renforcé leur dispositif de sécurité et étoffé leurs ressources de sécurité, creusant l'écart qui les sépare des petits fournisseurs de services de cloud.

2016

2015

23 %

22 %

20 %

10 %

33 %

25 %

21 %

25 %

25 %

24 %

27 %

24 %

13 %

10 %

17 %

22 %

Fuites ou compromissionsde données

Accès non autorisé auxdonnées/services

Piratage de compte(p. ex. vol d'identifiants)

Coûts et frais élevés/faible valeur

Service client déficient

Manque de visibilité sur lesopérations des fournisseurs

de services de cloud

Difficultés à migrer lesservices ou les données

Faible disponibilité

Prévention des fuites de données

Problèmes opérationnels

Figure 19. Votre entreprise a-t-elle déjà été confrontée à un ou plusieurs des problèmes suivants dans sa relation avec un fournisseur de services de cloud ?

Des coûts élevés pour une valeur très limitée : c'est désormais le principal problème opérationnel subi par les responsables informatiques vis-à-vis de leurs fournisseurs de services de cloud l'an dernier. Le service client déficient arrive en deuxième position. Il convient de comparer ces résultats à ceux de l'an dernier, qui plaçaient en tête les difficultés à migrer les services ou les données, alors qu'elles occupent à présent la quatrième place. Le manque de visibilité sur les opérations des fournisseurs de services de cloud est le problème technique le plus cité, sans grand changement par rapport à l'an dernier. La faible disponibilité fait désormais partie des cinq problèmes majeurs (citée par 22 % des répondants cette année contre 17 % l'an dernier).


RAPPORT

La protection des données en transit, principale préoccupation pour les services SaaSLa confiance accrue dans les services de cloud engendre un changement dans les types de préoccupations qu'ils suscitent chez les responsables informatiques. Par le passé, les entreprises appréhendaient surtout des compromissions et d'autres types de pertes ou fuites de données, que ce soit dans le cas des services SaaS ou IaaS. Cette année, les craintes de voir disparaître ses données se sont dissipées et les problèmes opérationnels sont désormais à l'avant-plan des préoccupations en ce qui concerne les clouds publics.

Le principal souci des entreprises qui utilisent des services SaaS est la protection des données sensibles circulant entre l'entreprise et le cloud, ce qui est compréhensible vu que la moitié d'entre elles ont subi une infection par malware causée par une application SaaS et un quart une compromission de données. Leur deuxième préoccupation est le coût, ce qui témoigne encore une fois du niveau de maturité qu'acquièrent ces services. Les préoccupations liées aux opérations de sécurité sont semblables à celles des entreprises qui utilisent d'autres types de services de cloud, notamment la conformité des données, les menaces avancées et la gestion des données. En bas du classement figurent la capacité à respecter les SLA et l'utilisation au sein de l'entreprise d'applications ou services de cloud non approuvés.

1. Protection des données sensibles circulant entre l'entreprise et le cloud

2. Coût

3. Maintien de la conformité des données

4. Attaques ciblées avancées et/ou menaces APT

5. Compétences requises par le personnel de sécurité informatique

6. Gestion des identités et des accès

7. Capacité du fournisseur de services SaaS à respecter les niveaux de service / accords SLA en ce qui concerne les objectifs de performances et de disponibilité

8. Mise en service d'applications SaaS sans l'accord du département informatique (informatique de l'ombre)

Figure 20. Principales préoccupations liées à l'utilisation de services SaaS (dans l'ordre)

La sécurité intégrée, la priorité pour les services IaaSCette année, la mise en place de contrôles de sécurité intégrés et cohérents est au centre des préoccupations des entreprises utilisant des services IaaS, suivie de près par le manque de compétences en sécurité du personnel. À mesure que les entreprises adoptent des services d'infrastructure Amazon, Google ou Microsoft, leurs équipes de sécurité doivent s'adapter au nouveau modèle de responsabilité partagée. Utiliser plusieurs services signifie qu'il est plus compliqué d'assurer une configuration et une mise en œuvre cohérentes des stratégies dans les différents environnements. Les appréhensions concernant la sécurité n'arrivent qu'en cinquième position, ce qui peut porter à croire que les répondants sont un peu plus satisfaits des fournisseurs de services IaaS sur le plan des opérations de sécurité qu'au niveau opérationnel en général.


RAPPORT

Les deux principaux problèmes opérationnels sont l'incapacité du fournisseur à respecter les SLA et la situation géographique des centres de données. Pour ce qui est des opérations de sécurité, les préoccupations majeures sont le maintien de la conformité, la gestion des identités et de l'accès, et la protection contre les menaces avancées.

1. Mise en place de contrôles de sécurité cohérents qui offrent une sécurité intégrée avec gestion centralisée pour tous les clouds (privés et publics) et une infrastructure traditionnelle de centre de données

2. Compétences requises par le personnel de sécurité informatique

3. Maintien de la conformité

4. Capacité du fournisseur de services à respecter les niveaux de service / accords SLA en ce qui concerne les objectifs de performances et de disponibilité

5. Accès non autorisés aux données sensibles par d'autres locataires utilisateurs de services de cloud dans un environnement multiclient


7. Attaques ciblées avancées et/ou menaces persistantes avancées

8. Implantation des centres de données et banques de données du fournisseur de services de cloud hors du pays de mon entreprise

Figure 21. Principales préoccupations liées à l'utilisation de services IaaS (dans l'ordre)

Les mesures à prendre pour stimuler l'adoption du cloud publicPour répondre aux préoccupations, résoudre les problèmes et faire progresser l'adoption du cloud public, les fournisseurs des secteurs du cloud et de la sécurité doivent encore faire des progrès. La première étape sera idéalement de réduire les coûts. Cependant, les quatre

mesures suivantes concernent, d'une part, la protection des données dans le cloud et en transit et, d'autre part, le contrôle de l'accès des utilisateurs. Les fournisseurs de services de cloud et les fournisseurs de solutions de sécurité doivent collaborer pour résoudre ces problèmes cruciaux :

■ Mieux protéger les données en mouvement et les données conservées dans les applications de cloud

■ Offrir de meilleures garanties quant au contrôle permanent des données par leur propriétaire

■ Mettre en œuvre une gestion plus stricte des accès et des identités

■ Assurer une plus grande transparence

Coût

Capacité à protéger lesdonnées sensibles circulantentre l'entreprise et le cloud

Garantie pour votre entreprisede garder un contrôle

permanent sur ses donnéesGestion stricte du contrôlede l'accès et des identités

Capacité à protéger lesdonnées déjà hébergées dans

les applications de cloudTransparence de la part des

fournisseurs de services de cloudPersonnel qualifié

possédant une maîtrise del'architecture de cloud

Conformité simplifiée

32 %

26 %

25 %

24 %

24 %

22 %

21 %

20 %

Figure 22. Parmi les éléments suivants, lesquels favoriseraient l'adoption de services de cloud public dans votre entreprise ?


RAPPORT

Le danger croissant de l'informatique de l'ombreUn département informatique qui met trop de temps à déployer des solutions peut, par inadvertance, encourager d'autres départements à se doter de ses propres services de cloud. Une autre conséquence possible est la désorganisation de l'environnement de sécurité, qui va encore alourdir la charge de l'équipe de sécurité.

Que l'informatique de l'ombre soit liée à l'acceptation généralisée des services de cloud public ou au fait que leur adoption soit ralentie par une équipe informatique qui manque de compétences en sécurité, le résultat est là : près de 40 % des services de cloud aujourd'hui utilisés par une entreprise sont mis en place sans passer par le département informatique. En soi, il n'y a rien de grave à cela si les équipes de sécurité et informatique disposent d'une visibilité suffisante pour garantir la sécurité des applications, des données et de l'entreprise dans son ensemble.

Malheureusement, la visibilité sur ces services non sanctionnés a régressé, passant de 50 % l'année dernière à un peu moins de 47 % cette année. Certes, la baisse n'est pas très importante, mais c'est un facteur défavorable à la sécurité de l'entreprise. Plus de 65 % des professionnels informatiques estiment que ce manque de visibilité interfère avec leur capacité à garantir la sécurité du cloud, alors qu'ils n'étaient que 58 % à le penser l'an dernier.

2015

52 %

49 %

2016

46 %

47 %

SaaS

IaaS

Figure 23. À combien estimez-vous votre pourcentage de visibilité sur les services de cloud public mis en place par les départements de l'entreprise sans que le département informatique ne soit directement impliqué ?


RAPPORT

Les méthodes pour détecter l'informatique de l'ombreLes mesures prises par les départements informatiques pour surveiller et gérer les services informatiques utilisés sans leur approbation ont fortement évolué. Il semble que l'on s'oriente davantage vers des méthodes actives de surveillance et l'utilisation de technologies afin d'améliorer la visibilité. Cette année, les pare-feux de nouvelle génération ont remplacé la surveillance de l'activité des bases de données en tant que méthode la plus susceptible d'être employée (de 41 % l'an dernier à 49 % cette année). Les passerelles web ont également progressé (de 37 % à 41 %) et, dans une moindre mesure, les intermédiaires de sécurité de l'accès au cloud ou CASB (de 32 % à 33 %). Parallèlement, nous avons constaté un net recul de méthodes plus passives de détection des pratiques liées à l'informatique de l'ombre, comme la collaboration avec le département financier, le contrôle de l'utilisation des licences ou le bouche à oreille. Globalement, 1 % seulement des entreprises ne surveillent pas l'utilisation des applications et services non approuvés, contre 5 % l'an dernier.

2015

2016

41 %49 %

49 %45 %

32 %33 %

33 %25 %

35 %24 %

24%

23 %24%

37 %41 %

16 %

5 %1 %

Pare-feux de nouvelle génération

Surveillance de l'activité des bases de données

Passerelles web

Intermédiaire de sécurité del'accès au cloud (CASB)

Collaboration avec le service financier afind'être informé de toute note de frais

concernant des services de cloud

Vérification de l'utilisation deslicences d'application

Vérification de l'utilisation des licences IaaS

Bouche à oreille

Aucune surveillance de l'utilisation desservices de cloud non approuvéspar le département informatique

33 %

26 %

Figure 24. Comment le département informatique surveille-t-il l'utilisation de services de cloud qu'il n'a pas approuvés ? (résultats regroupés par année)


RAPPORT

Les méthodes pour sécuriser l'informatique de l'ombreLes départements informatiques prennent diverses mesures pour assurer la sécurité des services utilisés sans son accord. La plus citée par les répondants est le blocage de l'accès aux services non autorisés, mais seules 27 % des entreprises appliquent cette méthode. Il semble que la plupart des équipes informatiques éprouvent des difficultés à appuyer les choix des départements en matière de services en mettant en place des mesures telles que la gestion des identités et des accès, la prévention des fuites de données et le chiffrement, ou encore la recherche d'une solution acceptable en collaboration avec les utilisateurs. Il est intéressant de noter que, bien que 22 % des entreprises aient subi une compromission de données liée à leurs services de cloud, seules 24 % utilisent une solution de prévention des fuites de données et une technologie de chiffrement pour protéger leurs données, alors qu'il n'existe pratiquement aucune corrélation entre les deux.

Blocage de l'accès au servicede cloud non autorisé

Gestion des accès et des identités

Prévention des fuites de donnéeset chiffrement

Prise de contact avec les utilisateurs du servicede cloud non autorisé pour qu'ils collaborent

avec le département informatiqueCorrection de toute faille de sécurité identifiée

Vérification des applications utilisées et/ouévaluation des risques potentiels de façon régulière

Migration du service non autorisévers un service approuvé similaire

Signalement du problème au(x) membre(s)de la direction adéquat(s)

Contrôle des fonctionnalitésde certaines applications

Surveillance continue de l'utilisation,sans autre mesure supplémentaire

26 %

27 %

24 %

21 %

21 %

19 %

19 %

17 %

16 %

11 %

Figure 25. Après l'identification d'un service de cloud non approuvé dans votre entreprise, comment le département informatique s'y prend-il pour le sécuriser ?

L'infrastructure du centre de données évolue vers le véritable cloud privéLe passage à une architecture hybride cloud privé/public exige une évolution du centre de données pour le doter d'une infrastructure de cloud fortement virtualisée. Très peu d'entreprises en sont à ce stade, puisque seules 4 % de celles que nous avons interrogées déclarent disposer d'un centre de données entièrement défini par logiciel (SDDC). La majorité, soit 73 %, prévoient cependant d'achever leur transformation vers le SDDC dans les 24 mois, et 20 % dans les 5 ans. Elles ne sont que 7 % à indiquer qu'elles ne comptent pas du tout opter pour le modèle SDDC à l'avenir. C'est dans les plus grandes entreprises que cette transition s'effectue le plus lentement : 10 % de celles-ci déclarent ne pas prévoir une transformation complète et 29 % affirment qu'elle devrait prendre jusqu'à cinq ans. Les principaux secteurs qui rejettent la transition sont les administrations et organismes publics (19 %) et les services d'utilité publique (14 %). Parmi les secteurs qui envisagent une adoption dans un délai de cinq ans, les mieux représentés sont les administrations (33 %), les prestataires de services (33 %) et les établissements d'enseignement (31 %). Sans doute que ces réponses sont attribuables aux préoccupations concernant le manque de personnel informatique qualifié nécessaire à l'implémentation et à la gestion de leur cloud privé. Le secteur des télécommunications s'affirme lui aussi inquiet de la pénurie de compétences en sécurité de l'équipe informatique, mais est néanmoins à la pointe en matière de transformation vers le SDDC.


RAPPORT


Oui, dans les 24 mois Oui, dans les 5 ans Non, jamaisOui, dans les 12 mois

41%

15%

38%


19%

35%


24%29%

37%

6% 6%10%

Total

37%

20%

36%

7%

40%

Figure 26. Votre entreprise prévoit-elle de transformer entièrement ses centres de données en centres de données définis par logiciel (SDDC) ? (résultats regroupés par taille d'entreprise)

Actuellement, 52 % des serveurs de centre de données d'une entreprise sont virtualisés en moyenne.

Virtualisation du centre de donnéesinférieure à 25 %

Virtualisation du centre de donnéescomprise entre 25 et 50 %



Virtualisation du centre de donnéessupérieure à 90 %

Centre de données défini par logiciel (SDDC)

Réseau défini par logiciel (SDN)

9 %

4 %

3 %

34 %

33 %

15 %

1 %

Figure 27. Parmi les propositions suivantes, laquelle décrit le mieux l'architecture actuelle de votre cloud privé ?

Cette migration vers les services de cloud entraîne des bouleversements qui concernent d'autres aspects de l'entreprise. À la fois version moderne et miniature des machines virtuelles et étape suivante dans l'allocation granulaire des ressources, les conteneurs connaissent un essor très rapide. Plus de 80 % des entreprises ont déclaré utiliser des conteneurs : 36 % au sein du

département informatique uniquement, 18 % hors de celui-ci uniquement et 29 % à la fois au sein et hors de celui-ci. Les conteneurs sont généralement utilisés en plus grand nombre par hôte que les machines virtuelles, mais leur durée de vie est beaucoup plus courte, ce qui les rend plus difficiles à protéger.

Je ne saispas ce qu'estun conteneur

2 %

Je ne suis passûr(e) que nous

puissions utiliserdes conteneurs

4 %

Non, nousn'utilisons pasde conteneurs

36 %

Oui, certains départements de

l'entreprise utilisentdes conteneurs

mais pas ledépartementinformatique

Oui, certainsdépartementsutilisent desconteneurs,y compris le

départementinformatique

29 %

11 %

18 %

Oui, seul ledépartementinformatique

utilise desconteneurs

Figure 28. Votre entreprise utilise-t-elle des conteneurs (tels que Docker ou Lynx) ?

L'accès non autorisé, principal problème des clouds privésLes entreprises qui utilisent un cloud privé ont cité l'accès non autorisé aux données sensibles comme leur préoccupation majeure, suivie de très près par le déficit de compétences en sécurité. Le temps et les efforts à investir pour l'implémentation et la maintenance font également partie de la liste. La majorité des inquiétudes sont liées aux opérations de sécurité, notamment le maintien de la conformité, la gestion des identités et des accès, la protection contre les menaces avancées, le manque de visibilité et la mise en place de contrôles cohérents. De nouvelles technologies de virtualisation, dont les conteneurs, font peser une pression supplémentaire au niveau des ressources et des compétences des départements informatiques.


RAPPORT

1. Accès non autorisé aux données sensibles au sein du cloud privé

2. Compétences requises du personnel informatique pour l'implémentation et la maintenance

3. Maintien de la conformité


5. Attaques ciblées avancées ou menaces APT

6. Visibilité sur le niveau de sécurité

7. Mise en place de contrôles de sécurité cohérents et intégrés couvrant à la fois les infrastructures traditionnelles et virtuelles

8. Temps et efforts à investir pour l'implémentation et la maintenance

Figure 29. Principales préoccupations liées à l'utilisation d'un cloud privé (dans l'ordre)

Le DevSecOps, un gain d'efficacité pour les équipes de sécuritéLe DevSecOps est un concept d'organisation de plus en plus populaire qui vise à diffuser la sécurité dans l'ensemble de l'entreprise. On trouve à présent des fonctions DevSecOps dans 45 % des entreprises qui utilisent des services de cloud, et 49 % prévoient de mettre en place cette fonction à l'avenir. Seuls 6 % des responsables informatiques interrogés ont indiqué qu'ils ne comptaient pas se doter d'une fonction DevSecOps.

Oui

Pas encore, mais ce sera le cas à l'avenirNon, et nous n'en avons pas l'intention

45 %

49 %

6 %

Figure 30. Votre entreprise dispose-t-elle d'une fonction DevSecOps ?

La fonction DevSecOps fait le plus souvent partie du département informatique central (71 %), mais elle peut, beaucoup plus rarement, se trouver dans le service d'ingénierie (15 %) ou aux opérations techniques (14 %).

ConclusionLes clouds ne sont près de disparaître du paysage informatique. Les entreprises leur confient un large éventail d'applications et de données, pour la plupart sensibles ou stratégiques. Les données sont envoyées là où elles sont nécessaires et où elles seront les plus efficaces. Des mécanismes de sécurité doivent dès lors être mis en place suffisamment à l'avance pour détecter rapidement les menaces, protéger l'entreprise et neutraliser les tentatives de compromission des données.


RAPPORT

Aujourd'hui, les clouds se déclinent dans une large palette de modèles d'architecture et d'exploitation. Il n'existe pas un modèle parfait : il appartient aux entreprises de choisir les services et l'architecture qui répond le mieux à leurs besoins. Les économies en termes de coûts et de ressources sont bien réelles, et les offres gagnent rapidement en maturité, permettant ainsi aux entreprises de s'attaquer à des problèmes opérationnels spécifiques importants pour leurs activités.

Les problèmes de sécurité qui entourent les clouds évoluent eux aussi. Les craintes vagues et génériques liées aux compromissions cèdent la place à des questions plus pointues : protection des données inactives et en transit, configuration et mise en œuvre cohérentes des stratégies de sécurité, sans oublier le contrôle de l'accès et des identités. Malheureusement, la pénurie de compétences en sécurité est bien réelle elle aussi et affecte la plupart des entreprises, quels que soient leur taille et leur secteur, partout dans le monde. L'utilisation accrue des services de cloud public peut cependant atténuer l'impact de ce déficit, dans la mesure où les entreprises peuvent compter sur les importants effectifs d'experts en sécurité présents chez la majorité des grands fournisseurs de services de cloud.

RecommandationsLes objectifs de vitesse, d'efficacité et de coût qui s'imposent aux entreprises entraîneront une migration d'un plus grand nombre de données du réseau approuvé vers les clouds. Les déplacements de données sensibles entre les clouds publics et privés et l'essor des services de cloud en feront des cibles de plus en plus intéressantes pour les cybercriminels. À mesure que les entreprises migrent leurs opérations vers le cloud, ce sont fort probablement les failles dans le contrôle, la visibilité et la sécurité qui ouvriront la porte aux compromissions.

Les solutions de sécurité intégrées ou unifiées constituent une défense efficace contre ces menaces, en offrant aux équipes des opérations de sécurité une visibilité sur tous les services de cloud utilisés par l'entreprise et sur les ensembles de données autorisés à les traverser.

Les pirates chercheront vraisemblablement la cible la plus facile entre le centre de données de l'entreprise ou son cloud privé, ses extranets pour partenaires, les clouds hybrides partagés entre entreprises, ou les données ou applications hébergées par un fournisseur de cloud public. D'après le rapport Prévisions 2017 en matière de menaces de McAfee Labs, les identifiants et les systèmes d'authentification resteront les points d'attaque les plus vulnérables. Les cybercriminels s'intéresseront donc de près au vol d'identifiants, et surtout ceux des comptes d'administrateur puisqu'ils offrent l'accès le plus étendu. Pour limiter les risques, les entreprises doivent dès lors s'assurer de respecter les meilleures pratiques en matière d'identifiants de cloud, notamment par l'utilisation de mots de passe distincts et l'authentification multifacteur.

Des technologies de sécurité telles que la prévention des fuites de données (DLP), le chiffrement et les intermédiaires de sécurité de l'accès au cloud (CASB) offrent des mécanismes de protection et d'identification essentiels pour les services de cloud et les données de l'entreprise. Leur utilisation demeure cependant largement insuffisante à l'heure actuelle. Ces outils améliorent la visibilité, permettent la détection des applications et services non approuvés par le département informatique, facilitent la classification des données d'après leur valeur pour l'entreprise et assurent une protection automatique (par chiffrement, par exemple) des données sensibles inactives et

https://www.mcafee.com/fr/resources/reports/rp-threats-predictions-2017.pdf

https://www.mcafee.com/fr/resources/reports/rp-threats-predictions-2017.pdf


RAPPORT

en mouvement, que ce soit au sein d'un centre de données privé ou entre environnements de cloud. Une entreprise qui souhaite ajouter des outils DLP, CASB et d'autres outils émergents à son arsenal de sécurité doit veiller à qu'ils soient intégrés à son système de cyberveille, à ses contrôles basés sur les stratégies et à ses opérations de sécurité. Ainsi, sa sécurité profitera pleinement de leurs avantages et les frais en personnel qualifié coûteux seront réduits au minimum.

De nombreuses entreprises qui font appel à plusieurs fournisseurs de services IaaS sont préoccupées par un manque de cohérence tant au niveau de la visibilité que des contrôles. Idéalement, le modèle de sécurité doit disposer de contrôles dont les fonctions sont équivalentes dans l'ensemble des environnements. De cette manière, lorsque des ressources sont allouées aux charges de travail, la question de savoir si elles le sont chez tel ou tel autre fournisseur ne se pose pas. Les entreprises doivent rechercher des solutions de sécurité spécialisées offrant une couche de contrôles équivalente pour l'ensemble des fournisseurs. Ces solutions permettent la négociation de l'allocation de ressources aux charges de travail sur plusieurs clouds, tout en garantissant une cohérence fiable des stratégies de sécurité et de leur mise en œuvre, peu importe l'emplacement.

Les entreprises doivent déterminer si des problèmes liés à aux obligations réglementaires ou à la conformité les empêchent d'utiliser des clouds hybrides ou publics et, le cas échéant, les coûts supplémentaires qu'induirait leur utilisation. Si la protection des données

et des applications dans le cloud coûte moins cher, elles devraient envisager d'adopter une stratégie de priorisation du cloud pour se mettre en phase avec les objectifs de leurs partenaires internes et externes. Non seulement cette stratégie encourage l'entreprise à adopter des applications et services qui permettront probablement des économies et un gain de flexibilité, mais elle place également les opérations de sécurité aux avant-postes de la transformation, plutôt que dans une position réactive.

En bref, l'utilisation du cloud permet à une entreprise de se focaliser sur ses principaux points forts et de confier des tâches précises à un tiers qui dispose des compétences requises dans un monde en perpétuelle évolution. Cela dit, et de nombreuses entreprises en sont désormais conscientes, il est possible d'externaliser le travail, mais pas les risques. Dès lors, le recours à des services externes suppose un devoir de diligence, qui se révélera essentiel en cas d'atteinte à la sécurité impliquant un tiers. Il est fort possible que le rôle du département de sécurité interne évolue et qu'il perde en technicité pour acquérir une fonction de supervision des tiers. Mais jamais son rôle et son importance n'ont été si primordiaux.

Les points de vue exprimés dans le présent document sont basés sur les résultats de l'enquête « Instaurer la confiance dans le cloud » réalisée en 2016 par McAfee. Pour plus de détails sur cette enquête, veuillez contacter le service Relations publiques de McAfee.

mailto:Tracy_Holden%40mcafee.com?subject=

mailto:Tracy_Holden%40mcafee.com?subject=


McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2017 McAfee, LLC. 1953_0117JANVIER 2017

À propos de McAfeeMcAfee est l’une des plus grandes entreprises de cybersécurité indépendantes au monde. Convaincue de l’efficacité de la collaboration, McAfee met au point des solutions pour entreprises et particuliers qui contribuent à un monde plus sûr. En concevant des solutions compatibles avec les produits d’autres sociétés, McAfee aide les entreprises à orchestrer des environnements informatiques véritablement intégrés, où la protection, la détection et la neutralisation des menaces sont assurées de façon simultanée et en étroite collaboration. En protégeant l’ensemble des appareils des particuliers, McAfee sécurise leur vie numérique à la maison et lors de leurs déplacements. Grâce à sa collaboration avec d’autres acteurs de la sécurité, McAfee s’est imposé comme le chef de file de la lutte commune engagée contre les cybercriminels pour le bénéfice de tous.

www.mcafee.com/fr

11-13 Cours Valmy - La Défense 792800 PuteauxFrancewww.mcafee.com/fr

http://www.mcafee.com/fr

http://www.mcafee.com/fr

Instaurer la confiance dans le cloud - Rapport...RAPPR 3 Instaurer la confiance dans le cloud C'est...

Documents

Transcript of Instaurer la confiance dans le cloud - Rapport...RAPPR 3 Instaurer la confiance dans le cloud C'est...