La transformation vers le cloud constitue désormais un avantage stratégique pour de nombreuses entreprises, car elle est synonyme de commodité, de réduction des coûts et de disponibilité quasi permanente par rapport à l’infrastructure sur site. Parallèlement, le passage au cloud a également augmenté la surface d’attaque, avec pour conséquence une recrudescence des activités criminelles ciblant les environnements cloud. En ce début d’année 2023, les craintes d’une récession potentielle et le souhait corollaire de réduire les coûts ravivent l’urgence de passer au cloud public.
Pour réussir à sécuriser les environnements cloud, les entreprises doivent comprendre les risques critiques que peuvent exploiter les hackers pour infiltrer ces environnements. De même qu’il en est pour l’activité légitime dans le cloud, les attaquants continuent à faire évoluer leurs approches, de sorte que les défis de 2023 seront différents de ceux rencontrés en 2022 et auparavant. Voici mes principales prévisions pour 2023 :
Les environnements multicloud vont continuer à aggraver les problèmes de sécurité
Le multicloud offre de nombreux avantages en termes de fiabilité, d’agilité et de rentabilité, tout en vous évitant de dépendre d’un unique fournisseur. L’inconvénient du multicloud est qu’il augmente considérablement la complexité, en particulier en matière de sécurité. Le nombre de services disponibles auprès des trois principaux fournisseurs de clouds publics (AWS, Azure et GCP) passera de 750 actuellement à plus de 1 000. Soucieuses de faire preuve d’agilité et d’innovation, les équipes InfoSec devront trouver des moyens de prendre en charge ces nouveaux services aussitôt qu’ils seront disponibles. Les entreprises seront ainsi amenées à investir dans des outils automatisés qui associent les nouveaux services à des cadres de sécurité et de conformité tels que NIST, CIS et autres, lorsque ces services seront disponibles.
La sécurisation des environnements de développement deviendra le composant le plus critique
La multiplication et la diversité continues des déploiements d’applications génèrent une vaste surface d’attaque pour les acteurs malveillants. Nous avons été témoins d’incidents de cybersécurité chez SolarWinds, Kaseya et Spring4Shell. Log4j a également démontré que de nombreuses entreprises peuvent être touchées par des vulnérabilités logicielles. La sécurisation des environnements de développement deviendra l’un des composants les plus critiques pour les entreprises en 2023.
La prolifération d’outils DevSecOps va commencer à se regrouper
Selon Gartner, les entreprises qui ont mis en œuvre un pipeline DevSecOps pour leur sécurité cloud « ont bricolé le DevSecOps avec dix outils de sécurité disparates ou plus, certains anciens, d’autres nouveaux, chacun affichant une responsabilité et une vision du risque applicatif cloisonnées ». Conscientes des coûts indirects liés à la gestion d’un si grand nombre d’outils et des difficultés à mettre en place des politiques cohérentes avec les fournisseurs et les services cloud, les équipes InfoSec vont de plus en plus se tourner vers des plateformes plus polyvalentes, telles que les plateformes de protection des applications cloud natives (CNAPP), au détriment des produits ponctuels tels que CSPM, les scanners IaC et CWPP.
Une approche ciblée pour la protection des données
La surveillance et la protection des données sensibles dans les environnements multicloud constituent un problème insoluble pour de nombreuses entreprises. Lorsque les charges de travail de production sont déplacées entre plusieurs environnements de cloud public, il devient difficile de suivre les données ou les autorisations d’accès. En 2023, les entreprises doivent adopter de nouveaux outils, recourir à de nouveaux modes de pensée et déployer davantage d’efforts pour détecter, classer et appliquer des politiques afin de sécuriser leurs données sensibles. La protection des données doit être au centre de chaque stratégie de sécurité du cloud pour éviter les cyberattaques et les violations de données de plus en plus sophistiquées et complexes.
Faire plus avec moins
Le climat économique actuel laisse présager une tendance à la réduction des budgets en 2023. Pour surmonter ce problème, les dirigeants devront renforcer les outils, les processus et l’expertise avec une approche plus collaborative prenant en charge les dénominations communes de sécurité au sein d’équipes polyvalentes. Cette approche devrait être axée sur le retour sur investissement pour stimuler l’efficacité et réduire la complexité. En substance, faire plus avec moins.
Le recrutement dans le domaine de la cybersécurité restera un défi
Le recrutement dans le domaine de la cybersécurité restera un défi en 2023, ce qui conduira les RSSI à se consacrer encore davantage à améliorer l’efficacité de leurs équipes. Un des meilleurs moyens de stimuler l’efficacité consiste à s’assurer que les équipes se concentrent sans relâche sur les activités les plus importantes. La priorisation basée sur les risques stimulera l’efficacité, permettant aux équipes d’atteindre leurs objectifs en dépit d’un effectif plus modeste que prévu.
Comment rester en sécurité en 2023
Sur la base de notre expérience concernant les attaques et les incidents connexes, les responsables de la sécurité doivent se concentrer sur les tactiques et techniques suivantes :
Vous souhaitez en savoir plus sur la façon de sécuriser les activités de votre entreprise dans le cloud en 2023 ? Cliquez ici pour découvrir les perspectives de Zscaler.
Cet article fait partie d’une série consacrée aux tendances 2023 des principaux domaines dans lesquels les entreprises comme la vôtre seront engagées. Le prochain article de cette série aborde les prévisions concernant la sécurité des entreprises pour 2023.
By submitting the form, you are agreeing to our privacy policy.