Discussion :

[Sandra Coret]

Une mauvaise configuration des clouds rend 90 % des entreprises qui passent à des environnements multi-clouds, vulnérables, selon un nouveau rapport d'Aqua Security

Selon un nouveau rapport d'Aqua Security, une grande majorité des entreprises qui adoptent des environnements multi-clouds ne configurent pas correctement leurs services basés sur le cloud.

Sur une période de 12 mois, l'équipe de recherche d'Aqua a analysé les données d'infrastructure cloud anonymes de centaines d'organisations. Celles-ci ont été divisées en PME et en entreprises en fonction du volume de ressources cloud qu'elles ont analysé.

Les résultats montrent que moins d'un pour cent des entreprises ont corrigé tous les problèmes détectés, tandis que moins de huit pour cent des PME les ont tous corrigés. Plus de 50 % de toutes les organisations reçoivent des alertes concernant des services mal configurés avec tous les ports ouverts au monde, mais seulement 68 % de ces problèmes sont résolus, ce qui prend 24 jours en moyenne.

Les grandes entreprises mettent en moyenne 88 jours pour résoudre les problèmes après leur découverte. En outre, plus de 40 % des utilisateurs avaient au moins une API Docker mal configurée, ce qui nécessite en moyenne 60 jours pour y remédier.

"Si l'on considère qu'une seule mauvaise configuration du cloud peut exposer les organisations à un risque cybernétique grave, tel que des violations de données, des détournements de ressources et des attaques par déni de service, les conséquences de l'absence de résolution des problèmes de mauvaise configuration sont bien trop réelles pour être ignorées", déclare Assaf Morag, analyste principal des données de l'équipe Nautilus d'Aqua.

Le rapport étudie également les erreurs qui conduisent à cinq types courants de mauvaise configuration du cloud : mauvaise configuration du stockage (bucket/blob), mauvaise configuration de la gestion des identités et des accès (IAM), problèmes de chiffrement des données, services exploitables derrière des ports ouverts et exploitation de la technologie des conteneurs.

"Les applications natives du cloud améliorent l'agilité en donnant à davantage de personnes l'accès à la définition de l'environnement, mais nous voyons de nombreuses organisations s'éloigner d'une approche centralisée de la sécurité", ajoute Morag. "Le modèle traditionnel consistant à n'autoriser qu'une petite équipe hautement qualifiée de praticiens de la sécurité à effectuer tous les changements de configuration a cédé la place à une approche moderne et décentralisée. Les équipes de développement prennent des décisions de configuration ou appliquent des services, et cela peut avoir des conséquences dramatiques sur la posture de sécurité de l'environnement de production d'une organisation."

Source : Aqua Security

Et vous ?

Trouvez-vous les résultats de ce rapport pertinents ?
Votre entreprise est-elle passée au multi-cloud ? Quels sont les principaux problèmes rencontrés ?

Voir aussi :

Plus de la moitié des entreprises envisagent d'ajouter un ou plusieurs fournisseurs cloud en 2021, et se tournent vers des fournisseurs alternatifs, selon Accelerated Strategies et Linode

La sécurité est le principal facteur de risque pour l'adoption du multi-cloud par les entreprises, d'après une nouvelle étude d'Ensono, fournisseur de services informatiques

[TotoParis]

Ah ben mince : La France choisit Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud