La transformation vers le cloud constitue désormais un avantage stratégique pour de nombreuses entreprises, car elle est synonyme de commodité, de réduction des coûts et de disponibilité quasi permanente par rapport à l’infrastructure sur site. Parallèlement, le passage au cloud a également augmenté la surface d’attaque, avec pour conséquence une recrudescence des activités criminelles ciblant les environnements cloud. En ce début d’année 2023, les craintes d’une récession potentielle et le souhait corollaire de réduire les coûts ravivent l’urgence de passer au cloud public.
Pour réussir à sécuriser les environnements cloud, les entreprises doivent comprendre les risques critiques que peuvent exploiter les hackers pour infiltrer ces environnements. De même qu’il en est pour l’activité légitime dans le cloud, les attaquants continuent à faire évoluer leurs approches, de sorte que les défis de 2023 seront différents de ceux rencontrés en 2022 et auparavant. Voici mes principales prévisions pour 2023 :
Les environnements multicloud vont continuer à aggraver les problèmes de sécurité
Le multicloud offre de nombreux avantages en termes de fiabilité, d’agilité et de rentabilité, tout en vous évitant de dépendre d’un unique fournisseur. L’inconvénient du multicloud est qu’il augmente considérablement la complexité, en particulier en matière de sécurité. Le nombre de services disponibles auprès des trois principaux fournisseurs de clouds publics (AWS, Azure et GCP) passera de 750 actuellement à plus de 1 000. Soucieuses de faire preuve d’agilité et d’innovation, les équipes InfoSec devront trouver des moyens de prendre en charge ces nouveaux services aussitôt qu’ils seront disponibles. Les entreprises seront ainsi amenées à investir dans des outils automatisés qui associent les nouveaux services à des cadres de sécurité et de conformité tels que NIST, CIS et autres, lorsque ces services seront disponibles.
La sécurisation des environnements de développement deviendra le composant le plus critique
La multiplication et la diversité continues des déploiements d’applications génèrent une vaste surface d’attaque pour les acteurs malveillants. Nous avons été témoins d’incidents de cybersécurité chez SolarWinds, Kaseya et Spring4Shell. Log4j a également démontré que de nombreuses entreprises peuvent être touchées par des vulnérabilités logicielles. La sécurisation des environnements de développement deviendra l’un des composants les plus critiques pour les entreprises en 2023.
La prolifération d’outils DevSecOps va commencer à se regrouper
Selon Gartner, les entreprises qui ont mis en œuvre un pipeline DevSecOps pour leur sécurité cloud « ont bricolé le DevSecOps avec dix outils de sécurité disparates ou plus, certains anciens, d’autres nouveaux, chacun affichant une responsabilité et une vision du risque applicatif cloisonnées ». Conscientes des coûts indirects liés à la gestion d’un si grand nombre d’outils et des difficultés à mettre en place des politiques cohérentes avec les fournisseurs et les services cloud, les équipes InfoSec vont de plus en plus se tourner vers des plateformes plus polyvalentes, telles que les plateformes de protection des applications cloud natives (CNAPP), au détriment des produits ponctuels tels que CSPM, les scanners IaC et CWPP.
Une approche ciblée pour la protection des données
La surveillance et la protection des données sensibles dans les environnements multicloud constituent un problème insoluble pour de nombreuses entreprises. Lorsque les charges de travail de production sont déplacées entre plusieurs environnements de cloud public, il devient difficile de suivre les données ou les autorisations d’accès. En 2023, les entreprises doivent adopter de nouveaux outils, recourir à de nouveaux modes de pensée et déployer davantage d’efforts pour détecter, classer et appliquer des politiques afin de sécuriser leurs données sensibles. La protection des données doit être au centre de chaque stratégie de sécurité du cloud pour éviter les cyberattaques et les violations de données de plus en plus sophistiquées et complexes.
Faire plus avec moins
Le climat économique actuel laisse présager une tendance à la réduction des budgets en 2023. Pour surmonter ce problème, les dirigeants devront renforcer les outils, les processus et l’expertise avec une approche plus collaborative prenant en charge les dénominations communes de sécurité au sein d’équipes polyvalentes. Cette approche devrait être axée sur le retour sur investissement pour stimuler l’efficacité et réduire la complexité. En substance, faire plus avec moins.
Le recrutement dans le domaine de la cybersécurité restera un défi
Le recrutement dans le domaine de la cybersécurité restera un défi en 2023, ce qui conduira les RSSI à se consacrer encore davantage à améliorer l’efficacité de leurs équipes. Un des meilleurs moyens de stimuler l’efficacité consiste à s’assurer que les équipes se concentrent sans relâche sur les activités les plus importantes. La priorisation basée sur les risques stimulera l’efficacité, permettant aux équipes d’atteindre leurs objectifs en dépit d’un effectif plus modeste que prévu.
Comment rester en sécurité en 2023
Sur la base de notre expérience concernant les attaques et les incidents connexes, les responsables de la sécurité doivent se concentrer sur les tactiques et techniques suivantes :
- Approche et stratégie de sécurité du cloud : avec la prévalence des déploiements cloud natifs à grande échelle, l’adoption d’une approche de cybersécurité plus moderne, agile et intégrée est essentielle.
- Sélection de l’outillage adéquat : passez à une sécurité robuste avec les solutions et le niveau d’expertise adéquats, au-delà des couches de sécurité et des renseignements sur les menaces.
- Privilégier la visibilité : gagnez en visibilité et maintenez votre contrôle sur l’environnement complexe du cloud couvrant les menaces, les risques et les vulnérabilités dans le cloud.
- Priorité à la sécurité des données : sécurisez les données dans des environnements étendus et disséminés grâce à une approche stratégique et intégrée de protection des données et de DLP.
- Renseignements sur les menaces, corrélation avancée et techniques d’apprentissage automatique : utilisez une combinaison de techniques avancées pour garder une longueur d’avance sur les acteurs malveillants et réduisez les risques de manière proactive.
- Automatisez et maintenez en permanence les normes de conformité.
- Collaboration d’équipe : répartissez et déléguez les responsabilités en matière de sécurité avec l’automatisation à travers les entreprises.
En savoir plus
Vous souhaitez en savoir plus sur la façon de sécuriser les activités de votre entreprise dans le cloud en 2023 ? Cliquez ici pour découvrir les perspectives de Zscaler.
Cet article fait partie d’une série consacrée aux tendances 2023 des principaux domaines dans lesquels les entreprises comme la vôtre seront engagées. Le prochain article de cette série aborde les prévisions concernant la sécurité des entreprises pour 2023.
Prévisions
Ce blog contient des prévisions basées sur les croyances et hypothèses de notre direction et sur les informations dont elle dispose actuellement. Les mots « croire », « pouvoir », « vouloir », « potentiellement », « estimer », « continuer », « anticiper », « avoir l’intention », « pourrait », « serait », « projeter », « planifier », « s’attendre » et d’autres expressions similaires qui expriment l’incertitude des événements ou des résultats futurs sont destinés à identifier les prévisions. Ces prévisions comprennent, sans s’y limiter, des éléments concernant : des prévisions sur l’état de l’industrie de la cybersécurité au cours de l’année civile 2023 et notre capacité à tirer parti de ces opportunités de marché. Ces prévisions sont soumises aux dispositions de la sphère de sécurité créée par le Private Securities Litigation Reform Act de 1995. Ces prévisions sont soumises à un certain nombre de risques, d’incertitudes et d’hypothèses, et un nombre important de facteurs pourraient faire en sorte que les résultats réels diffèrent sensiblement des prévisions formulées dans ce blog, y compris, mais sans s’y limiter, les risques et les développements en matière de sécurité inconnus de Zscaler au moment de la rédaction de ce blog et les hypothèses sous-jacentes à nos prévisions concernant le secteur de la cybersécurité au cours de l’année civile 2023.
Les risques et incertitudes spécifiques à l’activité de Zscaler sont exposés dans notre dernier rapport trimestriel sur le formulaire 10-Q déposé auprès de la SEC (« Securities and Exchange Commission ») le 7 décembre 2022, qui est disponible sur notre site Web à l’adresse ir.zscaler.com et sur le site Web de la SEC à l’adresse www.sec.gov. Toutes les prévisions contenues dans ce blog sont basées sur les informations partielles dont dispose actuellement Zscaler à la date du présent communiqué, lesquelles sont susceptibles de changer. Zscaler ne s’engage pas à mettre à jour les prévisions contenues dans ce blog, même si de nouvelles informations deviennent disponibles à l’avenir, sauf si la loi l’exige.