Utrecht, le 14 décembre 2017 – En raison d’une implémentation trop rapide de services cloud et de stratégies de sécurité mal définies, bon nombre d’entreprises ont beaucoup de mal à gérer leurs données, qui sont éparpillées sur une kyrielle de services et d’applications. Une nouvelle enquête de Kaspersky Lab, menée notamment aux Pays-Bas et en Belgique, révèle que 35 pourcent des entreprises reconnaissent ne pas savoir exactement si certaines données se trouvent sur leurs propres serveurs ou sur ceux de leurs fournisseurs de cloud. Cela rend la sécurité et la responsabilité des données très difficiles, met en danger leur intégrité et peut entraîner de graves problèmes de sécurité et des coûts élevés.

Les services cloud offrent aux sociétés la possibilité de recourir aux technologies les plus avancées pour soutenir leurs activités quotidiennes et leurs plans de croissance, sans devoir se préoccuper de maintenance ni de coûts. Il n’est dès lors pas étonnant que 78 pourcent des entreprises aient déjà implémenté au moins une plate-forme Software-as-a-Service (SaaS). En outre, 75 pourcent d’entre elles envisagent de faire passer davantage d’applications dans le cloud à l’avenir. En matière d’IaaS, près de la moitié des entreprises de plus grande taille (49 pourcent) et 45 pourcent des PME envisagent de sous-traiter l’infrastructure et les processus informatiques.

Tentées par des économies de coûts et autres, de nombreuses sociétés ont rapidement instauré des services cloud, au détriment toutefois de la sécurité, parce qu’elles ont fait l’impasse sur des stratégies de sécurité des données. Souvent, on ne sait pas exactement qui est responsable de la sécurité des données dans le cloud. Notre enquête révèle que 70 pourcent des sociétés qui font appel à des fournisseurs de SaaS et de services cloud n’ont pas de plan précis pour l’approche des incidents de sécurité qui peuvent toucher leurs partenaires. Un quart d’entre elles avouent même ne pas avoir lu les directives de conformité du fournisseur de services, ce qui laisse penser qu’elles partent du principe que le fournisseur se charge de tout en cas de problème.

Laisser au fournisseur de services l’entière responsabilité de la sécurité peut toutefois s’avérer être une stratégie risquée. 42 pourcent des entreprises ne se sentent pas suffisamment protégées contre des incidents liés à leur fournisseur de services cloud, et 24 pourcent ont été confrontées l’an dernier à un incident qui a eu une influence sur l’infrastructure informatique hébergée par une partie externe.

Ce manque de planification et de responsabilité peut avoir de graves conséquences: l’impact financier moyen d’un incident de sécurité dans le cloud s’élève à 100 mille dollars (environ 85 mille euros) pour une PME et à 1,2 million de dollars (environ 1 million d’euro) pour une plus grande entreprise. Les types de données qui sont principalement touchées à la suite d’incidents impliquant une partie externe sont les suivants: informations clients extrêmement sensibles (vécu par 49 pourcent des PME et 40 pourcent des plus grandes entreprises); informations élémentaires de collaborateurs (35 pourcent des PME, 36 pourcent des plus grandes entreprises); et e-mails et communication interne (31 pourcent des PME, 35 pourcent des plus grandes entreprises).

C’est la raison pour laquelle les sociétés doivent trouver des manières de garder sous contrôle la prolifération des données dans le cloud. Tout paquet de données doit être protégé de façon optimale, où qu’il se trouve. Afin d’y parvenir, toute anomalie au sein de l’infrastructure cloud de l’entreprise doit être détectée. Une combinaison de techniques comme l’apprentissage machine et l’analyse de comportement est indispensable pour ce faire. Cette capacité d’identifier des menaces inconnues et de s’armer contre elles est essentielle pour la sécurité de l’infrastructure cloud. En outre, la visibilité de l’écosystème cloud et la couche de cyber-sécurité veillent à ce que les entreprises gardent une idée précise de l’endroit où se trouvent toutes les données et si le statut de sécurité en cours répond à la politique de sécurité de l’entreprise. Il s’agit là de la seule manière de maîtriser complètement le cloud, indépendamment de la quantité et de l’emplacement des données.

"Kaspersky Lab jouit d’une expérience démontrable dans la protection des infrastructures cloud”, indique Martijn van Lom, General Manager Kaspersky Lab Benelux. “Notre portefeuille de cyber-sécurité est « cloud-ready » et soutient dès à présent nos clients existants lors de la transition de datacenters internes vers des clouds privés et publics et des infrastructures hybrides avec plusieurs solutions et applications, le tout géré de manière centralisée. Le rythme élevé de la transformation numérique actuelle accroît l’efficacité et la flexibilité dans l’exploitation des entreprises, mais pose en même temps de nouveaux défis en matière de sécurité qui doivent être relevés sous peine de mettre les entreprises en danger. Afin de remédier aux carences dans la sécurité cloud, nous continuerons d’élargir notre offre et nous porterons la protection de l’infrastructure cloud à un niveau complètement inédit. Nos clients pourront récolter les fruits de la sécurité flexible de leurs infrastructures cloud. Cette dernière englobe la protection d’Amazon Web Services et de charges de travail reposant sur Microsoft Azure, ainsi que les applications cloud de Microsoft Office 365. Une organisation et une visibilité optimales de la sécurité de l’ensemble du cloud hybride sont également garanties.”

Consultez le rapport sur https://www.kaspersky.com/blog/cloud-zoo/ pour de plus amples informations sur les tendances en matière de sécurité dans le cloud.