
Les conclusions de Venafi, spécialiste de la gestion des identités machine, révèlent que le problème sous-jacent à ces incidents de sécurité est une augmentation spectaculaire de la sécurité et de la complexité opérationnelle liée aux déploiements du cloud.
Les organisations participant à l'étude hébergent actuellement 41 % de leurs applications dans le cloud, mais elles s'attendent à ce que ce chiffre passe à 57 % au cours des 18 prochains mois, ce qui devrait entraîner une augmentation de la complexité.
Les préoccupations opérationnelles et sécuritaires comprennent : le détournement de comptes, de services ou de trafic (35 %), les logiciels malveillants ou les ransomwares (31 %), les problèmes d'accès à la vie privée/aux données, tels que ceux du GDPR (31 %), les accès non autorisés (28 %) et les attaques de l'État-nation (26 %).
"Les attaquants sont désormais en phase avec le passage des entreprises à l'informatique en cloud", explique Kevin Bocek, vice-président de la stratégie de sécurité et des renseignements sur les menaces chez Venafi. "La cible la plus meurtrière des attaques dans le cloud est la gestion des identités, en particulier les identités des machines. Chacun de ces services cloud, conteneurs, clusters Kubernetes et microservices a besoin d'une identité machine authentifiée - comme un certificat TLS - pour communiquer en toute sécurité. Si l'une de ces identités est compromise ou mal configurée, cela augmente considérablement les risques sécuritaires et opérationnels."
À la question de savoir qui doit être responsable de la sécurité des applications basées sur le cloud, l'option la plus populaire est le partage des responsabilités entre les équipes d'exploitation de l'infrastructure du cloud et les équipes de sécurité de l'entreprise (24 %). Les options suivantes les plus populaires sont le partage de la responsabilité entre plusieurs équipes (22 %), la responsabilité avec les développeurs écrivant des applications cloud (16 %) et les équipes DevSecOps (14 %).
"Les équipes de sécurité veulent collaborer et partager la responsabilité avec les développeurs qui sont des experts du cloud, mais trop souvent ils sont laissés à l'écart des décisions de sécurité du cloud", ajoute Bocek. "Les développeurs prennent des décisions en matière d'outils et d'architecture natifs du cloud qui décident des approches de la sécurité sans impliquer les équipes de sécurité. Et nous pouvons maintenant voir les résultats de cette approche : les incidents de sécurité dans le cloud augmentent rapidement. Nous devons réinitialiser l'approche de la sécurité du cloud et créer des services de sécurité cohérents, observables et contrôlables dans les clouds et les applications. L'intégration d'un plan de contrôle pour l'identité des machines est un parfait exemple de nouveau modèle de sécurité créé spécifiquement pour l'informatique en nuage. Cette approche intègre la sécurité dans les processus de développement et permet aux équipes de sécurité de protéger l'entreprise sans ralentir les ingénieurs."
Source : Venafi
Et vous ?


Voir aussi :




Vous avez lu gratuitement 3 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.