Enquête sur la cloud security : l'automatisation et la simplification sont à privilégier

Enquête ESG sur la Cloud Security : l'automatisation et la simplification sont privilégiées

Editorial Lacework

June 2, 2021

Enquête ESG sur la cloud security : L'automatisation et la consolidation des plateformes sont désormais à privilégier aux produits ponctuels.

Source : ESG, une division de TechTarget, enquête sur les tendances dans la cloud security, janvier 2021

Pour sécuriser les applications dans le cloud, l'infrastructure sous-jacente et les couches d'orchestration comme Kubernetes, les entreprises numériques doivent faire face à de nouveaux défis de sécurité tant du point de vue architectural qu'organisationnel. De nouveaux modèles de menaces doivent être traités, tandis que les rôles des équipes de sécurité et DevOps sont en train de converger (pour devenir DevSecOps), ce qui conduit à ce que nous aimons appeler le « modèle d'irresponsabilité partagée ». L'ancienne approche traditionnelle de la sécurisation des monolithes, de la technologie aux équipes de sécurité, ne fonctionne tout simplement pas pour le cloud.

ESG a récemment interrogé 383 professionnels de l'informatique et de la cybersécurité aux États-Unis et au Canada pour découvrir comment la transition vers le cloud a continué d'affecter la sécurité parmi les entreprises basées sur le cloud. Les résultats sont clairs : la nature dynamique du cloud et des environnements conteneurisés crée des angles morts omniprésents, ce qui rend la sécurisation des environnements cloud particulièrement difficile, et les lacunes de maturité du programme DevSecOps entraînent des incohérences, des erreurs de configuration et un manque de visibilité critique.

Pas moins de 88 % de tous les professionnels interrogés pensent que leur programme de cybersécurité doit évoluer pour protéger leurs cloud workloads natifs et publics.

Ils ont besoin d'un moyen cohérent de sécuriser les environnements et les produits ponctuels ne sont pas à la hauteur. Les clients qui utilisent une infrastructure moderne ont besoin d'une plateforme de cloud security consolidée et bien intégrée et doivent adopter une approche DevSecOps, car la sécurité est maintenant la responsabilité des équipes chargées des produits.

Principaux points à retenir de l'enquête sur la cloud security

Voici quelques-unes des informations les plus intéressantes de l'enquête :

Les produits ponctuels causent des problèmes et ils sont onéreux.

L'utilisation de plusieurs produits ponctuels entraîne un coût et une complexité considérables, et empêche de mettre en œuvre des politiques centralisées. La sécurité ne peut pas être cloisonnée lorsqu'elle concerne les équipes, les workloads, les politiques et les outils. Les clients ont besoin d'une plateforme de sécurité unifiée, intégrée et consolidée.

Figure 1 - Enquête sur les applications et l'infrastructure cloud modernes et sécurisées
Figure 1 : Les cinq principaux défis liés à la cloud security 

74 % déclarent que le manque de visibilité rend la surveillance difficile

Sans visibilité, pas d'analyse et pas de solution. Sans accès au réseau physique et compte tenu de la nature dynamique des applications cloud-native et de l'infrastructure élastique, le manque de visibilité de la cloud security est important.

Toute personne capable d'écrire du code joue un rôle essentiel dans la posture de sécurité de ses workloads, ce qui facilite les erreurs de configuration et les rend difficiles à trouver. Une surveillance efficace de la posture de la cloud security peut détecter les anomalies qui indiquent les piratages de compte résultant de problèmes tels que les identifiants privilégiés, en particulier les identifiants d'utilisateurs ayant un accès administratif aux comptes du cloud, de l'orchestration et des services.


Figure 2 : Clés pour améliorer la visibilité de la sécurité des applications cloud-native

Les erreurs de configuration les plus fréquemment signalées dans le cloud sont des erreurs humaines toutes simples provenant d'un faible niveau de connaissances en matière d'IAM, comme l'utilisation de mots de passe par défaut ou le manque d'authentification multifacteur. Parmi les autres menaces, citons les workloads externes soumis au port scanning, les comptes trop permissifs ciblés par des acteurs malveillants et l'accès non autorisé aux services. Ces erreurs de configuration se terminent mal, car elles peuvent entraîner des compromissions de données et l'introduction de logiciels malveillants, y compris de cryptomineurs et de ransomwares.

En outre, l'impact sur les SLA montre qu'il est nécessaire d'automatiser la mise à jour des modèles d'infrastructure en tant que code (infrastructure-as-code ou IaC) via des contrôles de gestion de la posture de la cloud security (cloud security posture management ou CSPM).


Figure 3 : Données sur les incidents de sécurité cloud-native

41 % affirment que l'automatisation de l'introduction de contrôles et de processus via l'intégration avec le cycle de vie du développement logiciel et les outils CI/CD est une priorité absolue

Les innovateurs du cloud déploient de plus en plus leurs workloads à l'aide d'infrastructure en tant que code (IaC), comme Terraform et Cloudformation, et ils cherchent également des moyens d'automatiser le déploiement de leurs outils de sécurité facilement aux côtés des workflows CICD de leurs équipes de développement.


Figure 4 : L'impératif d'automatisation favorise l'intégration de la sécurité dans le DevOps

50 % des personnes interrogées ont indiqué que leur entreprise avait l'intention de tout consolider sur une plateforme intégrée au cours des 12 à 24 prochains mois

La consolidation vers des plateformes de sécurité intégrées et cloud-native est en cours

Les entreprises basées dans le cloud ont besoin d'un contrôle centralisé sur les innombrables services, workloads, configurations, API et infrastructures qui sous-tendent leur activité. Les plateformes intégrées offrent une approche centralisée de la sécurisation des applications cloud-native hétérogènes déployées sur des clouds, clusters et équipes distribués. Une source unique et intégrée de vérité en matière de sécurité garantit la cohérence entre les équipes de développement et de sécurité pour faciliter la surveillance et la sécurisation des applications et de l'infrastructure.

 

Contrôles de sécurité privilégiés pour la protection des applications et de l'infrastructure cloud-native
Figure 5 : Contrôles de sécurité privilégiés pour la protection des applications et de l'infrastructure cloud-native

LA BONNE NOUVELLE !

À mesure que les cas d'utilisation du DevSecOps s'étendent à l'ensemble du cycle de vie, davantage d'applications cloud-native seront protégées. Parfois, les choses se compliquent avant de devenir plus faciles, mais la vérité est que la sécurisation du cloud a le potentiel d'être beaucoup plus évolutive, plus automatisée, plus intelligente et plus complète que jamais auparavant.

Des bonnes pratiques DevOps en matière de sécurité commencent enfin à être mises en œuvre tout au long du cycle de vie des applications, de la phase de développement à la livraison et à la production, en passant par l'élaboration et l'intégration, ce qui se traduira par une augmentation du nombre d'applications cloud-native protégées grâce aux pratiques DevSecOps.

Pratiques de sécurité automatisées via l'intégration avec le DevOps

Figure 6 : Pratiques de sécurité automatisées via l'intégration avec le DevOps 

Conclusion - Récapitulatif

En conclusion, l'avenir est prometteur pour la cloud security. La grande majorité des leaders du numérique basés dans le cloud savent qu'il y a encore du travail à faire pour assurer la protection totale de leur infrastructure et de leurs workloads dans le cloud, mais en adoptant les bonnes pratiques et les stratégies présentées dans l'enquête, ils peuvent également arriver à mettre en place une approche DevSecOps efficace.

Pour récapituler :

  • Les produits ponctuels entraînent plus de problèmes, plus de coûts et plus de complexité.
  • L'automatisation est nécessaire pour faire évoluer la sécurité en même temps que le cloud.
  • Les erreurs de configuration sont courantes et insidieuses, mais elles peuvent être gérées grâce à une meilleure visibilité et des processus automatisés.
  • La sécurité doit être intégrée tout au long du cycle de développement et intégrée aux outils et workflows CICD.
  • Une plateforme de sécurité unifiée est nécessaire afin d'offrir un langage commun et centralisé aux équipes (DevOps et sécurité) et d'intégrer les systèmes.

Pour consulter les résultats complets de l'enquête, accédez à cette page.