Il existe un décalage entre la perception du contrôle d'accès au cloud et la réalité des échecs d'application des politiques

Selon les chiffres publiés par IDC en début d'année, les dépenses consacrées à l'infrastructure informatique du cloud public ont augmenté de 13,1 % par rapport au troisième trimestre de l'année dernière, atteignant 13,3 milliards de dollars. Au cours du trimestre précédent, les dépenses pour l'infrastructure informatique du cloud public ont dépassé pour la première fois les dépenses pour l'infrastructure informatique hors cloud, mais les dépenses pour l'infrastructure informatique hors cloud sont revenues en tête au troisième trimestre de l'année, à 13,7 milliards de dollars.IDC s'attend à ce que les dépenses en matière d'infrastructure informatique dans les clouds dépassent à nouveau les dépenses en matière d'infrastructure informatique hors cloud dans un avenir proche et à ce qu'elle augmente son avance à l'avenir. Les dépenses pour l'infrastructure du cloud privé ont augmenté de 0,6 % par rapport au troisième trimestre de l'année dernière, pour atteindre 5,0 milliards de dollars, les clouds privés sur site représentant 63,2 % de ce montant.Les stratégies multicloud sont désormais la norme, et avec 81 % des entreprises utilisant déjà deux fournisseurs de cloud ou plus, la sécurisation et la gouvernance des environnements multiclouds est l'un des principaux défis informatiques auxquels les entreprises sont confrontées. En raison de la nature complexe des environnements cloud, il est de plus en plus difficile d'avoir une visibilité sur les utilisateurs ayant accès aux données et aux ressources. Il est essentiel que les organisations mettent en œuvre des directives d'utilisation du cloud, des politiques de gouvernance et un moyen de visualiser qui a accès à leurs environnements cloud pour éviter l'exposition des données et nuire à la réputation de l'entreprise.CloudSphere a mandaté Dimensional Research pour mener une enquête sur les pratiques actuelles d'accès, de gouvernance et de gestion à l'infrastructure cloud. Le but de l'enquête était de mieux comprendre la fréquence et les raisons de l'accès non autorisé au cloud. L'enquête internationale a révélé que les entreprises souffrent d'un faux sentiment de sécurité quant au contrôle de l'accès au cloud et l'application des politiques IAM (identity and access management).Une grande majorité d'entreprises (69 %) déclarent que des dizaines de milliers à des millions d'enregistrements transitent par leurs plateformes de cloud public chaque mois, et presque tous les répondants (97 %) ont déclaré que ces enregistrements incluent des informations sensibles telles que les données clients, les données des employés, les informations des transactions des clients et les données financières. Avec chaque enregistrement de données perdu ou volé qui peuvent coûter une moyenne de 146 $, les entreprises risquent des centaines de millions de dollars de pertes en cas d'accès non autorisé.Les données sensibles sont vulnérables aux violations. Les résultats du rapport ont révélé que 32 % des entreprises ont connu un accès non autorisé aux ressources du cloud, et 19 % ne savaient pas si un accès non autorisé avait lieu. Cela met en évidence le manque de contrôle sur les ressources cloud et la nécessité d'améliorer la visibilité de qui, ou quoi, a accès à des ressources cloud spécifiques.Il a été constaté que les accès non autorisés étaient en grande partie dus à une mauvaise application des stratégies de gestion des identités et des accès (IAM – identity and access management) dans le cloud. Des recherches ont révélé que si 78 % déclaraient être en mesure d'appliquer les stratégies IAM, 69% ont signalé que des problèmes d'application des stratégies créaient un accès non autorisé. Les entreprises pensent que leurs politiques et leur stratégie de mise en application fonctionnent, alors qu'en réalité, les échecs de leur mise en œuvre contribuent à un accès non autorisé.Lorsqu'il leur a été demandé qui avait un accès non autorisé aux ressources du cloud, 58 % ont répondu que c'étaient les employés, 40 % ont désigné les anciens employés et 38 % ont parlé des entités externes telles que les bots et les pirates. Les résultats indiquent un manque évident de visibilité et de surveillance des accès non autorisés ou mal placés, ce qui menace en fin de compte la sécurité d'une organisation.L'enquête a révélé que 53 % des entreprises ont 100 personnes ou plus avec un accès au cloud dans de nombreuses équipes internes et externes, dont la majorité n'ont aucune expertise spécifique en matière de sécurité. Selon les statistiques, 72 % affirment que les développeurs ont accès au cloud et 69 % affirment que les équipes DevOps ont un accès au cloud. Selon le document, « ce grand nombre d'utilisateurs avec une expertise minimale en matière de sécurité crée un potentiel d'erreur, et les erreurs deviennent inévitables lors de la tentative de contrôle de l'accès aux ressources cloud ». De plus, 41% disent que les consultants y ont accès et 25 % disent que les partenaires y ont accès. L'accès par ces parties externes en dehors de l'organisation expose les données à un risque encore plus grand.Alors que les stratégies multiclouds sont devenues la norme et que les outils IAM des fournisseurs de cloud public ne peuvent généralement pas s'étendre au-delà de leur propre plateforme, il est de plus en plus difficile de mettre en œuvre une solution IAM standardisée sur toutes les plateformes cloud. Une étude a révélé que 85 % des entreprises utilisent différents outils d'accès aux fournisseurs de cloud pour chaque environnement, et plus de la moitié (57 %) des entreprises utilisent de nombreux outils IAM cloud pour gérer leurs environnements multicloud.Les auteurs estiment que : « pour éviter les violations et assurer la sécurité des données, les entreprises doivent concevoir, mettre en œuvre et appliquer des stratégies IAM pour leurs environnements cloud spécifiques afin de limiter l'accès aux ressources sensibles aux seuls utilisateurs et machines qui en ont vraiment besoin. Cela inclut la conception des autorisations afin que les utilisateurs ne puissent pas modifier les paramètres d'autorisation. Cela garantit que l'accès involontaire ou hérité via des politiques est surveillé et sécurisé. Les organisations ne suivent pas cette meilleure pratique, car les erreurs manuelles ont été signalées comme l'une des principales raisons pour lesquelles les solutions IAM ne parviennent pas à empêcher les accès non autorisés, car 63 % ont noté que les solutions IAM n'étaient pas correctement configurées et 56 % ont déclaré que les rôles et les droits d'accès avaient été mal saisis ».« Alors que l'adoption du cloud s'accélère, sécuriser et gérer les environnements multiclouds est un défi informatique majeur auquel sont confrontées les entreprises », déclare Keith Neilson, évangéliste technique pour CloudSphere. « Cette recherche met en évidence les immenses lacunes de la gouvernance du cloud que les entreprises rencontrent, ce qui laisse finalement les données sensibles vulnérables aux violations. Il est essentiel que les entreprises adaptent une approche unifiée pour gérer correctement l'accès au cloud et protéger les données de l'entreprise afin d'éviter des violations coûteuses et de préserver la confiance. »Source : rapport CloudSphere