Le cloud computing a créé un changement plus important dans l'industrie informatique au cours des 20 dernières années que tout autre facteur. Grâce à la technologie cloud, les entreprises peuvent créer, déployer et faire évoluer leurs applications plus rapidement que jamais. Mais à mesure que le cloud computing se généralise, de nouveaux défis de sécurité sont apparus. Entre la complexité de l'infrastructure cloud et l'expansion des services basés sur le cloud, les attaquants ont accès à une plus grande surface d'attaque qu'il y a encore quelques années.
Snyk a récemment mené des recherches pour examiner de plus près l'impact de la sécurité du cloud sur les organisations et les défis teamsont confrontés alors qu'ils tentent de sécuriser l'infrastructure cloud tout en se déployant à grande échelle. Les conclusions de cette recherche sont summarised dans le 2022 Rapport Snyk sur l'état de la sécurité du cloud.
Le rapport est basé sur une enquête de Propeller Insights, demandant la contribution de plus de 400 praticiens et leaders de l'ingénierie et de la sécurité du cloud dans divers types d'organisations et secteurs. Dans le rapport qui en résulte, les chercheurs en sécurité cloud de Snyk ont combiné leur analyse des données de l'enquête avec des observations tirées de leur propre expérience.
Quels sont les défis posés par la sécurité du cloud ?
Le rapport traite des risques de sécurité complexes résultant de l'adoption rapide de la technologie cloud. Il examine également comment les professionnels de la sécurité et les ingénieurs de la sécurité du cloud relèvent le défi de sécurisation des applications cloud et l'infrastructure tout en se déployant rapidement.
Les événements de sécurité dans le cloud sont répandus
Certaines des statistiques les plus intéressantes du rapport sont les suivantes :
- 80 % des organisations ont connu au moins un incident de sécurité cloud grave au cours de l'année écoulée (tel que des violations de données, des fuites de données et des intrusions dans leur environnement).
- 41 % des personnes interrogées affirment que les services cloud natifs augmentent la complexité, compliquant davantage leurs efforts de sécurité.
- Près de la moitié (49 %) des entreprises trouvent que le déploiement est plus rapide grâce à l'amélioration de la sécurité du cloud.
Des organisations de tailles et de secteurs variés ont déclaré avoir été touchées par des événements majeurs de sécurité dans le cloud au cours des 12 derniers mois, avec startups (89 %) et les organismes du secteur public (88 %) sont les plus touchés. Entrezrise les entreprises ont fait mieux (probablement en raison d'investissements plus importants dans l'infrastructure cloud), tandis que les petites et moyennes entreprises ont déclaré s'en tirer le mieux (probablement en raison d'une empreinte cloud plus petite et d'une moindre complexité de l'infrastructure).
Teams ont besoin d'objectifs de sécurité clairs
Une autre observation clé de l'enquête est que de nombreux teams manquent de clarté quant à savoir qui est responsable de la sécurité du cloud au sein de leur organisation. Parmi les répondants à l'enquête, 42 % des ingénieurs cloud déclarent que leur team est responsable de la sécurité du cloud, mais seuls 19 % des professionnels de la sécurité pensent que c'est le cas.
La sécurisation des ressources cloud nécessite un effort coordonné et une prise de conscience à travers teams — une pratique que de nombreuses organisations n'ont pas encore adoptée. La sécurité du cloud souligne l'importance d'avoir des responsabilités bien comprises, mais aussi bien définies. Cela aide les entreprises à rester claires lorsqu'elles travaillent à l'objectif commun de protéger leurs environnements cloud contre les attaques.
Formation teams sur la sécurité, l'apprentissage de l'infrastructure en tant que code
77 % des organisations interrogées estiment que bon nombre des défaillances de la sécurité du cloud résulter d'un manque deteam coopération et formation. Quand différent teams utiliser différents outils ou cadres politiques, en conciliant le travail entre ces teams et assurer une application cohérente peut être difficile. De plus, un outillage insuffisant qui produit des faux positifs peut entraîner une fatigue des alertes en matière de sécurité teams, contribuant à l'erreur humaine lorsque des problèmes critiques doivent être identifiés et résolus.
Les données de l'enquête montrent également que 55 % des organisations tirent parti de l'infrastructure en tant que code (IaC) pour obtenir une bonne sécurité avant le déploiement. L'utilisation d'IaC garantit une software cycle de vie de développement pour l'infrastructure cloud - et la possibilité de passer à gauche sur la sécurité du cloud.
Non seulement l'infrastructure en tant que code aide teams fonctionner de manière plus efficace et cohérente à grande échelle ; il présente une excellente opportunité de passer à gauche sur la sécurité du cloud avant le déploiement des applications. La réduction médiane des erreurs de configuration du cloud résultant de l'IaC est de 70 %.
En sécurisant IaC avec des vérifications automatisées qui utilisent la politique comme code, l'ingénierie cloud teams peut créer des environnements de développement et de test qui reflètent la production et tous ses contrôles de sécurité.
Regard vers l'avenir
Chaque jour, de plus en plus d'organisations exploitent le cloud pour développer et exécuter leurs applications. Ce faisant, ils adoptent davantage d'architectures cloud natives, telles que des environnements basés sur des conteneurs et sans serveur. Les développeurs et les ingénieurs travaillant avec l'infrastructure cloud construisent, itèrent et déploient constamment. Ils réécrivent le code et modifient souvent la configuration.
Mais de nombreux changements qui se produisent au cours de la software le cycle de vie du développement peut exposer un projet au risque d'attaque. Connaître les risques inhérents à l'infrastructure cloud et responsabiliser teams avec des outils et des politiques pour les protéger contre ces risques, fournit des résultats mesurables.
Au fil du temps, alors que le cloud computing continue de gagner en popularité, la sécurité du cloud ne fera que devenir plus critique pour toute organisation dans le paysage numérique. Une approche de la sécurité du cloud axée sur les développeurs aide les organisations à innover plus rapidement et de manière plus sécurisée, avec des avantages qui vont bien au-delà de la simple correction des vulnérabilités.