Cloud : que coûte la sécurité des données et des applications ?

Clément Bohic,
coût sécurité cloud Proofpoint

Une étude Ponemon Institute donne une idée du coût financier et humain lié aux mesures – préventives et curatives – de sécurisation du cloud.

La sécurité du cloud, combien ça coûte ? Proofpoint a sponsorisé une étude Ponemon Institute qui aborde le sujet… pas seulement sous l’angle purement financier.

À la source, il y a un échantillon de 662 réponses* émanant de professionnels dont les fonctions et les typologies d’entreprises se répartissent comme suit.

échantillon Proofpoint

échantillon Proofpoint 2

À l’arrivée, il y a des estimations qui sont souvent le fruit d’extrapolations, de nombreuses questions n’appelant pas des valeurs exactes, mais des intervalles. C’est par exemple le cas pour la proportion de données stockées dans le cloud. Sur l’ensemble de l’échantillon, le taux s’élève à 42 %… dont à peine un quart (27 %) sur lesquelles l’IT a effectivement le contrôle.

tableau données cloud

Autre élément qui, sur l’échantillon considéré, échappe à l’IT : les services cloud. D’une part, leur déploiement : pour les deux tiers d’entre eux, il est réalisé par d’autres départements. De l’autre, leur sécurité, et ce sur deux plans :

  • Les personnels majoritairement responsables d’évaluer la sécurité des fournisseurs
    sécurité fournisseurs cloud
  • Ceux majoritairement responsables d’évaluer la sécurité des applications en elles-mêmes

sécurité applications cloud

On ajoutera à cela que 22 % déclarent l’existence, dans les entreprises, d’une évaluation de la sécurité des applications SaaS avant déploiement. Et que 55 % déclarent une utilisation fréquente ou très fréquente de services cloud non approuvés au sein de leur organisation.

Pour ce qui est de protéger les données confidentielles et/ou sensibles, la défense la plus fréquemment mise en place est le chiffrement (et autres méthodes cryptographiques) : 59 % des entreprises. Suivent CASB (56 %) et réseaux privés (42 %). Puis des services premium du fournisseur cloud (39 %).

De l’argent… et du temps

En moyenne extrapolée, le budget annuel alloué à la sécurité du cloud s’élève à 37 millions de dollars. Soit près d’un quart du budget IT (167 millions). Ces investissements n’empêchent pas une moyenne de 19 compromissions de comptes cloud par an. Un volume qui tend à augmenter (50 % estiment que ce fut le cas sur les 12 derniers mois). Tout comme la sévérité des incidents (pour 53 % des répondants).

Ponemon Institute donne deux estimations. La première concerne le coût annuel global de ces incidents : en moyenne, 6,2 milliards de dollars par entreprise. La seconde donne une idée du pourcentage de volume d’affaires perdu : 3,5 %. Une conséquence, entre autres, de l’indisponibilité des applications (11,5 heures en moyenne par mois).

couts cloud

La lutte contre ces menaces a aussi un coût humain :

  • Planification : 158 heures par semaine en cumulant le travail des personnels IT et sécurité
  • Investigation : 290 heures par semaine (équipe sécurité)
  • Analyse forensique : 312 heures par semaine (idem)
  • Reporting : 101 heures par semaine (idem)
  • Remédiation : 321 heures par semaine (IT + sécurité)

* Réponses collectées en décembre 2020.

Illustration principale ©  FLY:D – Unsplash