En février, le Département de la Défense des États-Unis a exposé environ un téraoctet de courriels contenant des informations personnelles et des conversations entre responsables en raison d'une erreur de configuration du cloud.

Ce dernier incident souligne l'importance de la sécurité cloud, surtout à mesure que les organisations transfèrent plus de charges de travail et de données dans le cloud.

Nous avons compilé les statistiques ci-dessous pour vous aider à mieux comprendre le marché de l'informatique en nuage et les tendances en matière d'adoption du cloud, ainsi que les incidents de sécurité les plus courants et les préoccupations relatives à la sécurisation des environnements cloud. Nous fournirons également des conseils pratiques pour améliorer la sécurité cloud.

Statistiques sur l'informatique en nuage

L'adoption du cloud a accéléré ces dernières années et devrait continuer dans les années à venir. Découvrez ci-dessous les dépenses du marché, les tendances et les principaux moteurs d'adoption du cloud.

1. Le marché mondial de l'informatique en nuage public continue de croître et devrait atteindre environ 679 milliards de dollars américains en 2024. (Statista)

2. En 2022, les dépenses des entreprises en services d'infrastructure cloud se sont élevées à 225 milliards de dollars américains, soit une augmentation de 47 milliards de dollars par rapport à l'année précédente. (Statista)

3. Les dépenses mondiales des utilisateurs finaux pour les services de cloud public devraient croître de 20,4 % pour atteindre 678,8 milliards de dollars en 2024, contre 563,6 milliards de dollars en 2023. (Gartner)

4. 69 % des organisations utilisent trois ou plus de trois fournisseurs de services cloud. (Enterprise Strategy Group)

5. En 2022, les répondants à l'enquête CSA ont estimé qu'ils utilisaient en moyenne 147 services de cloud public, contre 38 lors d'une enquête réalisée en 2020. (Cloud Security Alliance et Google Cloud)

6. La majorité des organisations (71 %) utilisent un environnement multi-cloud pour les raisons suivantes, entre autres :

• Tirer parti des forces de différents fournisseurs (17 %)
• Améliorer la performance et la latence (14 %)
• Améliorer la résilience et la reprise après sinistre (13 %)
• Réduire la dépendance vis-à-vis d'un fournisseur unique (13 %). (Cloud Security Alliance et Expel)

7. Gartner prévoit que d'ici 2027, plus de 70 % des entreprises utiliseront des plateformes cloud industry pour accélérer leurs initiatives commerciales, contre moins de 15 % en 2023. (Gartner)

8. 83 % des organisations ont transféré et redéployé des charges de travail dans le cloud. (Enterprise Strategy Group)

9. Lors d'une enquête en 2022, la majorité des organisations (89 %) ont déclaré héberger des données ou des charges de travail sensibles dans le cloud public. (Cloud Security Alliance et Anjuna)

10. Dans une étude menée par Venafi, les organisations ont déclaré héberger deux cinquièmes (41 %) de leurs applications dans le cloud mais s'attendent à ce que ce pourcentage passe à 57 % au cours des 18 prochains mois. (Venafi)

11. 25 % des organisations ont déclaré que 30 % au moins de leurs charges de travail de production fonctionnent actuellement sur des infrastructures publiques, et 67 % ont déclaré qu'au moins 30 % de leurs charges de travail fonctionneront sur des infrastructures de cloud public au cours des 24 prochains mois. (Enterprise Strategy Group)

12. 66% des organisations ont augmenté leur investissement dans les applications SaaS critiques pour l'entreprise. (Cloud Security Alliance et Adaptive Shield)

Statistiques sur la sécurité en nuage

À mesure que les organisations déplacent davantage de données et de charges de travail vers le cloud, elles sont confrontées à des défis persistants en matière de sécurité du cloud. Découvrez ci-dessous les incidents de sécurité courants liés au cloud et les préoccupations.

13. 81 % des organisations ont signalé avoir connu un incident de sécurité lié au cloud au cours des 12 derniers mois. (Venafi)

14. Près de la moitié (45 %) des organisations ont signalé avoir subi au moins quatre incidents de sécurité liés au cloud au cours des 12 derniers mois. (Venafi)

15. Dans une enquête menée auprès de près de 3 000 professionnels de l'informatique et de la sécurité dans 18 pays, plus du tiers (39 %) des entreprises ont subi une violation de données dans leur environnement cloud l'année dernière, une augmentation par rapport aux 35 % signalés en 2022. (Thales)

16. L'erreur humaine a été signalée comme la principale cause des violations de données dans le cloud par plus de la moitié (55 %) des professionnels de l'informatique et de la sécurité. (Thales)

17. En 2022, 62 % des organisations ont déclaré qu'il était plutôt à hautement probable qu'elles subissent une violation de données dans le cloud au cours de l'année suivante. (Cloud Security Alliance et BigID)

18. Les incidents de sécurité les plus courants liés au cloud que les répondants ont vécus sont :

• Incidents de sécurité pendant l'exécution (34 %)
• Accès non autorisé (33 %)
• Mauvaises configurations (32 %)
• Vulnérabilités majeures non corrigées (24 %)
• Audit échoué (19 %). (Venafi)

19. Les principales préoccupations opérationnelles et de sécurité que les décideurs en matière de sécurité ont en relation avec le passage au cloud sont :

• Détournement de comptes, de services ou de trafic (35 %)
• Logiciels malveillants ou ransomware (31 %)
• Problèmes de confidentialité/accès aux données, tels que ceux du RGPD (31 %)
• Accès non autorisé (28 %)
• Attaques de l'État nation (26 %). (Venafi)

20. Lorsqu'on a demandé aux praticiens de la sécurité de désigner leurs trois principales préoccupations en matière de sécurité lors de l'exécution d'applications dans le cloud public, les plus courantes étaient la perte de données sensibles (64 %), une configuration et des paramètres de sécurité inadéquats (51 %) et un accès non autorisé (51 %). (Cloud Security Alliance et Google Cloud)

21. Lorsque les professionnels de la sécurité cloud d'entreprise d'organisations comptant plus de 1 000 employés ont été invités à identifier leurs plus grands défis causés par l'accélération rapide des cycles de développement logiciel, ils ont signalé les suivants :

• L'équipe de sécurité manque de visibilité et de contrôle dans le processus de développement (35 %)
• Les logiciels sont souvent publiés sans passer par les contrôles ou tests de sécurité (34 %)
• Manque de processus de sécurité cohérents entre les différentes équipes de développement (33 %)
• Les développeurs contournent les processus de sécurité pour respecter les délais (33 %)
• De nouvelles versions sont déployées en production avec des erreurs de configuration, des vulnérabilités et d'autres problèmes de sécurité (31%). (Enterprise Strategy Group)

22. La responsabilité de la sécurisation des applications basées sur le cloud est actuellement répartie entre les équipes internes, notamment :

• Les équipes de sécurité d'entreprise (25%)
• Les équipes d'opérations responsables de l'infrastructure cloud (23%)
• Un effort collaboratif partagé entre plusieurs équipes (22%)
• Les développeurs rédigeant des applications cloud (16%)
• Les équipes DevSecOps (10%). (Venafi)

23. Lorsqu'on leur a demandé qui devrait être responsable de la sécurité des applications basées sur le cloud, la réponse la plus commune était une responsabilité partagée entre les équipes d'operations d'infrastructure cloud et les équipes de sécurité d'entreprise (24%). (Venafi)

24. Lorsqu'on leur a demandé combien la sécurité joue un rôle dans la stratégie cloud de leur organisation, 40% des professionnels de l'informatique et de la sécurité ont répondu que la sécurité est priorisée et strictement appliquée pendant la mise en œuvre et le développement. (Cloud Security Alliance et Expel)

25. Lorsqu'on leur a demandé combien la sécurité joue un rôle dans la stratégie cloud de leur organisation, 2% des professionnels de l'informatique et de la sécurité ont répondu que les autres équipes ne consultent pas du tout l'organisation de sécurité. (Cloud Security Alliance et Expel)

Statistiques sur la sécurité des données cloud

L'un des plus grands défis auxquels les organisations sont confrontées est la protection et la sécurisation de leurs données commerciales, financières et de clientèle dans le cloud. Découvrez ci-dessous comment les organisations luttent contre ce défi.

26. Seuls 4% des organisations rapportent que 100% de leurs données sensibles dans le cloud sont suffisamment sécurisées. En d'autres termes, 96% des entreprises rapportent une sécurité insuffisante pour au moins une partie des données sensibles dans le cloud. (Cloud Security Alliance et BigID)

27. 40% des organisations indiquent que 50% ou moins de leurs données sensibles dans le cloud sont suffisamment sécurisées. (Cloud Security Alliance et BigID)

28. Plus de la moitié des organisations (57%) rapportent des niveaux de confiance moyens à faibles dans la capacité de leur organisation à sécuriser les données dans le cloud. (Cloud Security Alliance et BigID)

29. Lorsqu'on leur a demandé à quel point ils estimaient que les contrôles de sécurité de leur fournisseur de cloud sont efficaces, 89% des professionnels de l'informatique et de la sécurité ont répondu très ou plutôt efficace. Lorsqu'on leur a demandé à quel point ils étaient confiants dans la capacité de leur organisation à protéger les données sensibles dans le cloud, seulement 19% de ces professionnels ont répondu très confiants. 44% ont répondu modérément et 31% ont répondu légèrement.  (Cloud Security Alliance et Anjuna)

30. En enquêtant sur les informations stockées dans divers environnements cloud publics, les chercheurs ont trouvé des données personnelles sensibles dans plus de 30% des actifs cloud. (Dig Security)

31. 20% des données financières trouvées dans les actifs cloud sont publiquement exposées. (Dig Security)

32. 4% des informations personnelles identifiables (PII) et des données de l'industrie des cartes de paiement (PCI) trouvées dans les actifs cloud sont publiquement exposées. (Dig Security)

33. Plus de 7% des services de stockage contenant des données sensibles sont publics. (Dig Security)

34. Plus de 60% des services de stockage ne sont pas chiffrés au repos, et près de 70% ne disposent pas de journalisation complète. (Dig Security)

35. 91% des services de base de données avec des données sensibles ne sont pas chiffrés au repos, 20% ne disposent pas de journalisation complète et 1,6% sont ouverts au public. (Dig Security)

36. De la grande majorité des principaux avec des autorisations, 95 % les reçoivent par privilège excessif. (Dig Security)

37. Plus de 35 % des principaux ont un certain privilège sur les actifs de données sensibles. (Dig Security)

38. Des données sensibles ont également été trouvées circulant vers des environnements non gérés tels que les lacs de données comme Hadeep et Snowflake 40 % du temps. (Dig Security)

39. Presque 8 % des actifs de données sensibles sont partagés avec d'autres comptes ou projets, ce qui augmente le risque potentiel d'exposition des données et réduit la posture de sécurité de l'actif lui-même. (Dig Security)

40. 55 % des actifs partagés le sont avec d'autres comptes de la même organisation,

36 % des actifs partagés le sont avec d'autres comptes en dehors de l'organisation et

9 % sont partagés avec des fournisseurs tiers. (Dig Security)

41. Les organisations semblent accorder des niveaux d'accès presque identiques aux données sensibles de leur organisation aux employés, aux contractuels, aux partenaires et aux fournisseurs. Par exemple, les organisations ont signalé les pourcentages suivants ayant accès à 51-75% de leurs données sensibles :

• Employés (29 %)
• Partenaires commerciaux ou technologiques (27 %)
• Contractuels (26 %)
• Fournisseurs (25 %). (Cloud Security Alliance et BigID)

42. Plus de 50 % des actifs de données sensibles dans le cloud sont accessibles par cinq à 10 applications, et près de 20 % des actifs de données sensibles sont accessibles par 10 à 20 applications. (Dig Security)

43. Les fonctionnalités de sécurité des données les plus couramment utilisées par les organisations sont :

• Surveillance continue/ apprentissage (48 %)
• Sécurité des charges de travail dans le cloud (42 %)
• Sécurité des données dans le cloud (42 %)
• Inspection et détection des données (41 %). (Cloud Security Alliance et BigID)

Statistiques sur les risques de sécurité dans le cloud

Bien que l'informatique en nuage offre une large gamme d'avantages - rentabilité, sauvegarde et récupération des données, et évolutivité - elle comporte également des risques. Lisez ci-dessous pour voir quels problèmes contribuent à ces risques.

44. Plus de 45 % des expositions présentant un risque élevé, hébergées dans le cloud de la plupart des organisations en un mois donné, ont été observées sur de nouveaux services qui n'étaient pas présents sur la surface d'attaque de leur organisation le mois précédent. (Unit 42)

45. En moyenne, plus de 20 % des services cloud accessibles de l'extérieur changent mensuellement, créant un nouveau risque. (Unit 42)

46. 52 % des organisations déclarent qu'elles n'évaluent pas le risque continu de leurs services cloud utilisés après l'approvisionnement à mesure que les fonctionnalités des produits ou les environnements commerciaux changent. (Cloud Security Alliance et Google Cloud)

47. 34 % des organisations n'évaluent pas et n'ajustent pas à plusieurs reprises le statut de risque des services cloud. (Cloud Security Alliance et Google Cloud)

48. 47 % des dirigeants de la sécurité ont déclaré qu'ils étaient au courant des applications malveillantes tierces et avaient de l'expérience. Un autre 38 % a déclaré qu'ils étaient au courant mais n'avaient aucune expérience. (Cloud Security Alliance et Adaptive Shield)

49. 80% des expositions de sécurité sont trouvées dans les environnements cloud par opposition aux locaux en raison d'une gamme de facteurs, y compris des erreurs de configuration fréquentes, des responsabilités partagées, l'informatique de l'ombre, la connexion inhérente à Internet et le manque de visibilité sur les actifs cloud. (Unit 42)

50. Les trois causes qui représentent 60% de toutes les expositions dans les environnements cloud sont :

• Prise de contrôle du cadre web (22,8%)
• Services d'accès à distance (20,1%)
• Infrastructure de sécurité informatique et réseau (17,1%). (Unit 42)

51. 49% des organisations ont évalué la gestion d'un environnement multi-cloud comme modérément complexe. 23% l'ont évaluée comme très complexe. (Cloud Security Alliance et Expel)

52. 52% des organisations qui ont un environnement multi-cloud signalent des difficultés à établir des politiques de sécurité et de gouvernance cohérentes entre les plateformes. (Cloud Security Alliance et Expel)

53. Environ 70% des organisations ont signalé des processus moins efficaces pour attribuer des risques aux actifs cloud, avec seulement 4% déclarant avoir des pratiques hautement efficaces. (Cloud Security Alliance et Google Cloud)

54. En moyenne, les praticiens de la sécurité sont seulement quelque peu satisfaits de la méthode de leur organisation pour attribuer des risques aux actifs cloud. (Cloud Security Alliance et Google Cloud)

55. Une majorité d'organisations (65%) ont déclaré ajuster les métriques de risque utilisées pour évaluer les services cloud annuellement ou moins fréquemment. (Cloud Security Alliance et Google Cloud)

56. 30% des entreprises ont déclaré que les systèmes de notation des risques sont utilisés comme un guide directionnel pour l'amélioration des risques pour certaines solutions cloud, par opposition à des mesures sur lesquelles on peut se fier pour une comparaison entre tous les services cloud. (Cloud Security Alliance et Google Cloud)

Statistiques sur la sécurité SaaS

À mesure que les organisations augmentent leur investissement dans les applications SaaS, garantir que ces applications sont configurées et gérées en toute sécurité est primordial. Sans mesures de sécurité appropriées, les organisations sont exposées à des violations de données, des cyberattaques et d'autres incidents de sécurité cloud. Découvrez comment les entreprises répondent aux risques de sécurité SaaS.

57. Plus d'un tiers (38%) des professionnels de l'informatique et de la sécurité ont classé les applications de Software as a Service (SaaS) comme la principale cible des pirates, suivies de près par le stockage cloud (36%). (Thales)

58. Plus de 55% des dirigeants de la sécurité ont déclaré avoir connu un incident de sécurité dans leur environnement Software as a Service (SaaS) au cours des deux dernières années, soit une augmentation de 12% par rapport à l'année précédente. (Cloud Security Alliance et Adaptive Shield)

59. 12% des dirigeants de la sécurité ont déclaré ne pas savoir s'ils avaient connu un incident de sécurité dans leur environnement Software as a Service (SaaS) au cours des deux dernières années. (Cloud Security Alliance et Adaptive Shield)

60. Plus de la moitié (58%) des organisations estiment que leurs solutions actuelles de sécurité SaaS couvrent uniquement 50% ou moins de leurs applications SaaS. (Cloud Security Alliance et Adaptive Shield)

61. Seules 7% des organisations estiment que leurs solutions actuelles de sécurité SaaS couvrent 100% de leurs applications SaaS. (Cloud Security Alliance et Adaptive Shield)

62. La fuite de données a dominé les types d'incidents de sécurité rencontrés par les professionnels de l'IT et de la sécurité à 58%, suivie par les applications malveillantes (47%), les violations de données (41%) et les rançongiciels (40%). (Cloud Security Alliance et Adaptive Shield)

63. Les principales préoccupations en matière de sécurité des cadres en matière de sécurité lors de l'adoption d'applications SaaS dans leur entreprise sont :

• Gouvernance de l'identité et des accès (43%)
• Accès des applications tierces et niveau de leurs autorisations (40%)
• Gestion de la perte de données (32%)
• Applications malveillantes connectées (31%)
• Détection et réponse aux menaces (31%)
• Mauvaise configuration du SaaS (29%). (Cloud Security Alliance et Adaptive Shield)

64. 71% des professionnels de la sécurité ont déclaré que leurs organisations ont augmenté leur investissement dans les outils de sécurité pour le SaaS. (Cloud Security Alliance et Adaptive Shield)

65. Seuls 22% des professionnels de la sécurité ont déclaré être très satisfaits des investissements de leurs organisations dans les outils de sécurité pour le SaaS. 54% ont déclaré être moyennement satisfaits et 24% ont déclaré ne pas être satisfaits. (Cloud Security Alliance et Adaptive Shield)

Statistiques de carrière en sécurité cloud

Comprenez comment la demande de professionnels de la cybersécurité possédant des compétences en sécurité cloud augmente à mesure que l'adoption du cloud augmente ci-dessous.

66. Près de la moitié (47%) de tous les professionnels de la sécurité considèrent la sécurité de l'informatique en nuage comme la compétence la plus recherchée pour ceux qui cherchent à faire avancer leur carrière. (Consortium international de certification en sécurité des systèmes d'information)

67. 32% des responsables du recrutement ont déclaré que la sécurité de l'informatique en nuage est la compétence la plus souhaitable pour la deuxième année consécutive. (Consortium international de certification en sécurité des systèmes d'information)

68. 92% signalent avoir des lacunes dans les compétences au sein de leur organisation, la sécurité de l'informatique en nuage étant la plus souvent citée (35%). (Consortium international de certification en sécurité des systèmes d'information)

69. 68% des professionnels de la sécurité ont déclaré que leurs organisations ont augmenté leurs investissements dans le recrutement et la formation du personnel sur la sécurité SaaS. (Cloud Security Alliance et Adaptive Shield)

70. 71% des professionnels de la sécurité ont déclaré être modérément ou très satisfaits des investissements de leurs organisations dans le recrutement et la formation du personnel sur la sécurité SaaS. (Cloud Security Alliance et Adaptive Shield)

71. 41% des praticiens de la sécurité ont déclaré que la méthode de leur organisation pour suivre les pratiques actuelles de gestion des risques pour le cloud était une "dépendance informelle à l'autoformation du personnel". (Cloud Security Alliance et Google Cloud)

Comment améliorer la sécurité cloud

Maintenant que vous savez à quel point il est important de sécuriser les données et les flux de travail dans le cloud, utilisez ces conseils ci-dessous pour améliorer votre sécurité cloud.

Mettre en place et maintenir un cycle de vie de contrôle d'accès

En mettant en œuvre des contrôles d'accès, vous pouvez offrir un accès utilisateur autorisé, granulaire, auditable et approprié à travers les environnements cloud et garantir une préservation adéquate de la confidentialité, de l'intégrité et de la disponibilité des données.

La mise en œuvre de contrôles d'accès n'est pas une activité ponctuelle. C'est une série d'étapes répétées qui composent le cycle de vie du contrôle d'accès. Pour mettre en œuvre et maintenir un cycle de vie de contrôle d'accès efficace, le personnel interne doit se voir attribuer des rôles et des responsabilités clés dans le cadre de leurs fonctions professionnelles, y compris mais sans s'y limiter :

• Provisioning
• Établir des droits d'accès
• Créer des règles de complexité des mots de passe
• Assurer la ségrégation des tâches
• Surveillance
• Déprovisionnement / désactivation

Évaluer périodiquement les risques des fournisseurs de services cloud

Comme mentionné ci-dessus, plus de la moitié des organisations n'évaluent pas le risque de leurs services cloud après leur acquisition, même lorsque les fonctionnalités des produits ou les environnements commerciaux changent.

Pour améliorer la sécurité cloud, les organisations doivent évaluer régulièrement leurs fournisseurs et surveiller leur conformité et leurs performances en matière de sécurité comme elles le font pour tout autre fournisseur. Un programme solide de gestion des risques des fournisseurs incluant les fournisseurs de services cloud peut aider les organisations à minimiser les risques à un niveau acceptable et à se concentrer sur la création de valeur à partir des relations avec des tiers.

Utiliser un outil d'évaluation des risques

Nous savons également que la majorité des organisations déclarent avoir des processus moins efficaces pour attribuer des risques aux actifs cloud. L'utilisation d'un outil d'évaluation des risques peut aider à simplifier et à standardiser le processus de compréhension, de notation et de suivi des risques des actifs cloud.

Surveiller en continu les environnements cloud

La surveillance continue est de plus en plus importante à mesure que les organisations ajoutent plus de services cloud. Les organisations doivent surveiller en continu leurs environnements cloud avec la même vigilance que les environnements sur site afin de détecter et résoudre rapidement tout problème dès qu'il survient. L'automatisation et l'IA peuvent aider les organisations à le faire même lorsque leurs environnements cloud deviennent de plus en plus complexes.

Automatiser la remédiation cloud

Avec l'IA, votre équipe de cybersécurité peut gagner un temps précieux en remédiant les mauvaises configurations cloud. Des outils d'IA plus avancés comme Secureframe Comply AI peuvent traiter les alertes de sécurité et offrir aux utilisateurs des instructions de remédiation étape par étape basées sur les contributions des utilisateurs, ce qui permet d'obtenir des recommandations de remédiation plus efficaces et adaptées.

Comment Secureframe peut aider à protéger votre environnement cloud

Secureframe vous aide à sécuriser votre environnement de cloud computing. Ses principales fonctionnalités incluent :

• Contrôles d'accès : Surveillez et suivez facilement le niveau d'accès de chaque employé aux systèmes et technologies intégrés.
• Gestion des risques des fournisseurs : Évaluez et gérez la sécurité et la posture de conformité de chacun de vos fournisseurs tiers et planifiez des revues récurrentes pour une surveillance continue.
• Évaluation puissante des risques : Évaluez les risques de manière fluide en suivant des workflows intuitifs et étape par étape, ou gagnez plus de temps en automatisant les évaluations des risques avec Comply AI.
• Vérifications continues de configuration : Notre plateforme vérifie en continu la posture de configuration et recueille des preuves JSON brutes, démontrant l'adhésion aux normes de conformité et aux contrôles de sécurité de l'entreprise.
• Surveillance continue : Obtenez une visibilité complète et des informations exploitables sur les problèmes critiques de sécurité et de conformité à la confidentialité.
• Guidance de remédiation : Obtenez des instructions claires de remédiation pour les tests cloud échoués avec des instructions étape par étape, ou du code en tant qu'infrastructure généré avec Comply AI.

Pour en savoir plus sur la plateforme d'automatisation de la conformité en matière de sécurité et de confidentialité de Secureframe, planifiez une démonstration avec un expert produit.