État des lieux
de la sécurité cloud-native :
rapport 2024
L’IA générative s’impose comme une force déstabilisatrice qui place les organisations à la croisée de l’innovation et du risque. Comment exploiter tout le potentiel de cette technologie tout en relevant les immenses défis qui l’accompagnent ?
C’est tout l’objectif de l’État des lieux de la sécurité cloud-native 2024, quatrième rapport annuel du genre : aider les entreprises à tirer pleinement parti de la transformation qui touche la sécurité cloud en s’appuyant sur les tendances actuelles et les éclairages recueillis auprès de 2 800 professionnels du DevOps et de la sécurité cloud dans 10 pays et cinq secteurs d’activité. Découvrez comment des organisations comme la vôtre amorcent ce virage.
Sécurité cloud-native : état des lieux 2024
L’étude du marché de la sécurité cloud-native la plus exhaustive
IA : une arme à double tranchant
Alors que l’IA poursuit son irrésistible ascension, son exploitation à des fins malveillantes ne fait aucun doute. Rien d’étonnant donc à ce que 38 % des entreprises interrogées dans le cadre de notre enquête citent les attaques pilotées par IA comme leur principale préoccupation en 2024. Elles sont également 43 % à penser que les menaces pilotées par IA vont se généraliser.
Code généré par IA : un risque de sécurité
Mais les attaques pilotées par IA ne représentent que la moitié du problème : 44 % des entreprises s’inquiètent également des risques associés au code généré par IA. Et on les comprend. La création de logiciels en toute autonomie et le rythme effréné auquel l’IA génère du code constituent un terrain favorable à l’apparition non détectée de failles de sécurité. Les méthodes traditionnelles de test de sécurité pourraient alors se voir totalement dépassées.Entrer dans l’inconnu
Bien qu’elles restent sur leur garde face à l’IA, les organisations affichent un certain optimiste. Ainsi, tous les sondés prévoient d’utiliser des outils de développement assistés par IA et d’adapter leur approche de sécurité en conséquence.Outils, fournisseurs, besoins opérationnels : un équilibre délicat
Comme chacun sait, les environnements cloud peuvent rapidement devenir très complexes. Rien d’étonnant quand on sait qu’en moyenne, les participants de notre enquête font appel à 12 fournisseurs de services cloud et utilisent 16 outils de sécurité. 98 % d’entre eux plébiscitent plus de simplification et de consolidation, et soulignent l’importance de réduire le nombre d’outils utilisés.
Bien que la complexité revienne chaque année comme un leitmotiv de notre état des lieux de la sécurité cloud-native, la situation ne semble pas avoir beaucoup évolué. Au contraire, le nombre d’outils de sécurité cloud a même augmenté de 60 % depuis notre précédent rapport.
Bien que la complexité revienne chaque année comme un leitmotiv de notre état des lieux de la sécurité cloud-native, la situation ne semble pas avoir beaucoup évolué. Au contraire, le nombre d’outils de sécurité cloud a même augmenté de 60 % depuis notre précédent rapport.
Protéger les données au sein d’écosystèmes fragmentés
La protection des données représente un défi de taille pour bon nombre d’entreprises. Dans 50 % des structures sondées, l’identification et la classification des données cloud sensibles s’opèrent manuellement. C’est un véritable problème, et ce pour plusieurs raisons : en plus d’être longs et propices aux erreurs, ces audits manuels ne dressent souvent qu’un inventaire incomplet, exposant les entreprises à des risques de compromission.
Et pour ne rien arranger, 98 % des organisations stockent des données sensibles dans de multiples environnements. Plus de la moitié des sondés imputent à cette incroyable complexité la difficulté à surveiller et contrôler les informations sensibles, et 48 % d’entre eux affirment que les mesures de protection des données sont insuffisantes.
On constate d’une année sur l’autre une hausse des incidents de sécurité dans l’ensemble des secteurs d’activité. Près de la moitié des entreprises font état d’une augmentation des interruptions de service dues à des erreurs de configuration, des entorses réglementaires ou des API non sécurisées (les risques associés aux API sont d’ailleurs la préoccupation de sécurité numéro un de 43 % des répondants). Et 64 % des organisations notent une hausse des compromissions de données.
Et pour ne rien arranger, 98 % des organisations stockent des données sensibles dans de multiples environnements. Plus de la moitié des sondés imputent à cette incroyable complexité la difficulté à surveiller et contrôler les informations sensibles, et 48 % d’entre eux affirment que les mesures de protection des données sont insuffisantes.
Des incidents de sécurité en hausse
En éparpillant leurs données sur différents environnements cloud, les entreprises élargissent considérablement leur surface d’attaque. Si on ajoute à cela le manque de visibilité, qui accroît le risque de menaces internes, rien d’étonnant à ce que 45 % des participants de notre enquête constatent une hausse des menaces persistantes avancées (APT).On constate d’une année sur l’autre une hausse des incidents de sécurité dans l’ensemble des secteurs d’activité. Près de la moitié des entreprises font état d’une augmentation des interruptions de service dues à des erreurs de configuration, des entorses réglementaires ou des API non sécurisées (les risques associés aux API sont d’ailleurs la préoccupation de sécurité numéro un de 43 % des répondants). Et 64 % des organisations notent une hausse des compromissions de données.
La collaboration : l’affaire des dirigeants
Les tensions entre développeurs et équipes de sécurité du cloud ne semblent pas près d’être résolues, comme le laisse entendre notre enquête 2024. 84 % des sondés pointent du doigt les processus de sécurité pour expliquer les retards pris par leurs projets. Les opérations de sécurité représentent un fardeau pour 83 % des personnes interrogées. Elles sont par ailleurs 79 % à affirmer que leurs salariés ignorent fréquemment ces processus ou les contournent.
Quant aux 71 % de sondés qui rapportent des vulnérabilités dues à des déploiements précipités, ils sont 92 % à mettre ça sur le compte de l’inefficacité du développement et du déploiement, et 71 % sur le compte du stress. Sans surprise, 93 % des entreprises interrogées affichent un turnover élevé.
Chaque camp se renvoie la balle
Mises à jour, nouvelles fonctionnalités, corrections de bug… les développeurs doivent agir dans les meilleurs délais pour que l’entreprise atteigne ses objectifs métiers. Résultat, les tickets d’incident s’accumulent, les dates de lancement sont repoussées, et chaque camp se renvoie la responsabilité. Pour 86 % des répondants, la sécurité fait obstacle au lancement de nouvelles versions logicielles, tandis que 91 % sont d’avis que les développeurs doivent développer un code plus sécurisé. Deux sons de cloche assez prévisibles.Quant aux 71 % de sondés qui rapportent des vulnérabilités dues à des déploiements précipités, ils sont 92 % à mettre ça sur le compte de l’inefficacité du développement et du déploiement, et 71 % sur le compte du stress. Sans surprise, 93 % des entreprises interrogées affichent un turnover élevé.
Risques, réalités et stratégies de sécurité du cloud
Les problèmes liés aux outils ont un impact considérable sur la résolution des bugs de sécurité et la correction des vulnérabilités. 40 % des sondés affirment que cette problématique nuit au processus de développement, et un tiers des professionnels de la sécurité interrogés pointent du doigt les outils de sécurité traditionnels pour expliquer leur incapacité à neutraliser tous les vecteurs de menaces. Ils déclarent par ailleurs que le volume d’alertes retarde les résolutions.
Ces défis majeurs expliquent la prépondérance de la thématique « efficacité opérationnelle » dans les réponses de nos participants. Pour plus de 90 % des sondés, la prolifération des outils de sécurité crée des angles morts qui les empêchent de prioriser les risques et de prévenir les menaces. Ils sont également 88 % à éprouver des difficultés à identifier les outils de sécurité dont ils ont réellement besoin. Néanmoins, les équipes de sécurité savent quelles capacités leur sont indispensables. Près de 95 % des professionnels de la sécurité recherchent une solution capable de fournir des actions de remédiation immédiates. Et ils sont presque autant à penser que leur organisation bénéficierait d’une solution conçue pour détecter automatiquement les vulnérabilités et les erreurs de configuration interconnectées et facilement exploitables par un attaquant.
Ces défis majeurs expliquent la prépondérance de la thématique « efficacité opérationnelle » dans les réponses de nos participants. Pour plus de 90 % des sondés, la prolifération des outils de sécurité crée des angles morts qui les empêchent de prioriser les risques et de prévenir les menaces. Ils sont également 88 % à éprouver des difficultés à identifier les outils de sécurité dont ils ont réellement besoin. Néanmoins, les équipes de sécurité savent quelles capacités leur sont indispensables. Près de 95 % des professionnels de la sécurité recherchent une solution capable de fournir des actions de remédiation immédiates. Et ils sont presque autant à penser que leur organisation bénéficierait d’une solution conçue pour détecter automatiquement les vulnérabilités et les erreurs de configuration interconnectées et facilement exploitables par un attaquant.