Cloud : que coûte la sécurité des données et des applications ?

La sécurité du cloud, combien ça coûte ? Proofpoint a sponsorisé une étude Ponemon Institute qui aborde le sujet… pas seulement sous l’angle purement financier.

À la source, il y a un échantillon de 662 réponses* émanant de professionnels dont les fonctions et les typologies d’entreprises se répartissent comme suit.

À l’arrivée, il y a des estimations qui sont souvent le fruit d’extrapolations, de nombreuses questions n’appelant pas des valeurs exactes, mais des intervalles. C’est par exemple le cas pour la proportion de données stockées dans le cloud. Sur l’ensemble de l’échantillon, le taux s’élève à 42 %… dont à peine un quart (27 %) sur lesquelles l’IT a effectivement le contrôle.

Autre élément qui, sur l’échantillon considéré, échappe à l’IT : les services cloud. D’une part, leur déploiement : pour les deux tiers d’entre eux, il est réalisé par d’autres départements. De l’autre, leur sécurité, et ce sur deux plans :

• Les personnels majoritairement responsables d’évaluer la sécurité des fournisseurs
  
• Ceux majoritairement responsables d’évaluer la sécurité des applications en elles-mêmes

On ajoutera à cela que 22 % déclarent l’existence, dans les entreprises, d’une évaluation de la sécurité des applications SaaS avant déploiement. Et que 55 % déclarent une utilisation fréquente ou très fréquente de services cloud non approuvés au sein de leur organisation.

Pour ce qui est de protéger les données confidentielles et/ou sensibles, la défense la plus fréquemment mise en place est le chiffrement (et autres méthodes cryptographiques) : 59 % des entreprises. Suivent CASB (56 %) et réseaux privés (42 %). Puis des services premium du fournisseur cloud (39 %).

De l’argent… et du temps

En moyenne extrapolée, le budget annuel alloué à la sécurité du cloud s’élève à 37 millions de dollars. Soit près d’un quart du budget IT (167 millions). Ces investissements n’empêchent pas une moyenne de 19 compromissions de comptes cloud par an. Un volume qui tend à augmenter (50 % estiment que ce fut le cas sur les 12 derniers mois). Tout comme la sévérité des incidents (pour 53 % des répondants).

Ponemon Institute donne deux estimations. La première concerne le coût annuel global de ces incidents : en moyenne, 6,2 milliards de dollars par entreprise. La seconde donne une idée du pourcentage de volume d’affaires perdu : 3,5 %. Une conséquence, entre autres, de l’indisponibilité des applications (11,5 heures en moyenne par mois).

La lutte contre ces menaces a aussi un coût humain :

• Planification : 158 heures par semaine en cumulant le travail des personnels IT et sécurité
• Investigation : 290 heures par semaine (équipe sécurité)
• Analyse forensique : 312 heures par semaine (idem)
• Reporting : 101 heures par semaine (idem)
• Remédiation : 321 heures par semaine (IT + sécurité)

* Réponses collectées en décembre 2020.

Illustration principale ©  FLY:D – Unsplash