Comment évolue la protection cyber des entreprises ? Nous avons récemment dégagé quelques tendances à partir de l’analyse du baromètre annuel CESIN depuis la première vague publiée en 2016.
Des neuf années de résultats, on peut tirer d’autres indicateurs, notamment sur la perception de la menace cloud. La restitution de la vague 2 fut la première à comprendre des éléments à ce sujet. La question alors posée est restée la même depuis : « Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou fort en ce qui concerne l’utilisation du cloud ? »
Le CESIN a systématiquement fait remonter les taux de réponse pour l’option « risque fort ». Tout du long, le nombre d’items a progressivement augmenté, mais leur définition n’a pas sensiblement évolué. Nous la retenons ici telle qu’elle figure dans la dernière vague, parue en janvier 2024.
« Stockage des données en France/Europe mais assuré et/ou opéré par des prestataires étrangers où la loi du pays d’origine s’applique également »
Près de la moitié des répondants de la vague 4 percevaient un risque fort sur cet item. Au dernier pointage, ils sont 39 %.
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
48 | 39 | 31 | 35 | 42 | 39 |
« Stockage des données dans des datacenters à l’étranger, hors du droit français »
L’évolution de la perception est similaire sur cet aspect. Les données remontent à la vague 2.
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
55 | 48 | 39 | 38 | 33 | 37 | 37 |
Le taux de réponses « risque fort » s’est réduit dans les mêmes proportions sur quatre éléments tournant autour de la gestion des données par les hébergeurs. On notera la courbe en V pour le non-effacement des données en fin de contrat, par opposition à la baisse quasi continue sur l’aspect confidentialité.
« Confidentialité des données vis-à-vis de l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
50 | 45 | 40 | 38 | 36 | 31 | 32 |
« Traitement et exploitation de données par l’hébergeur à l’insu de ses clients »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
36 | 36 | 38 | 22 | 26 | 27 | 23 |
« Non-effacement des données au cours de l’usage »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
55 | 51 | 40 | 27 | 28 | 36 | 33 |
« Non-effacement des données par l’hébergeur en fin de contrat alors que c’est prévu contractuellement »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
55 | 51 | 40 | 27 | 28 | 36 | 33 |
« Non-restitution des données par l’hébergeur en fin de contrat alors que c’est prévu contractuellement »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
47 | 33 | 31 | 20 | 23 | 23 | 25 |
Les niveaux d’inquiétude sont globalement plus élevés pour ce qui a trait à la « transparence » des hébergeurs. Sur la question des chaînes de sous-traitance, le taux de réponses « risque fort » est resté quasi inchangé en l’espace de six vagues.
« Non-maîtrise de la chaîne de sous-traitance de l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
52 | 50 | 51 | 48 | 51 | 48 |
« Difficulté de contrôler les accès par des administrateurs de l’hébergeur »
Dans la vague 2, cet item se confondait avec les audits.
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
57 | 52 | 45 | 45 | 43 | 49 | 43 |
« Mauvaise visibilité de l’inventaire des ressources »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
38 | 40 | 40 |
« Difficulté de mener des audits »
Même réflexion que plus haut : dans la vague 2, cet item se confondait avec les accès administrateurs.
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
57 | 48 | 46 | 41 | 36 | 40 | 36 |
Davantage de stabilité dans les taux de réponse « risque fort » sur ce volet. Le piégeage d’applications était l’item qui inquiétait le moins dans la vague 2. Il l’est resté depuis lors, sans exception.
« Indisponibilité des données / de l’application due à une attaque de l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
30 | 29 | 31 | 28 | 25 | 32 | 33 |
« Attaque par rebond depuis l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
23 | 25 | 24 | 23 | 27 | 29 | 30 |
« Propagation systémique des attaques et erreurs humaines qui surviendraient au niveau de l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
26 | 29 | 28 | 28 | 29 | 26 | 27 |
« Piégeage d’une application hébergée »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
20 | 22 | 18 | 17 | 18 | 16 | 16 |
Les craintes quant aux défauts de cloisonnement entre les clients sont au plus haut dans la dernière vague du baromètre. C’est le contraire concernant les difficultés à alimenter le SIEM avec les logs du cloud.
« Défaut de cloisonnement entre les clients »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
34 | 33 | 28 | 31 | 27 | 37 |
« Non-maîtrise des paramètres de sécurité / chiffrement faible de la part de l’hébergeur »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
42 | 39 | 37 | 36 | 28 | 35 | 36 |
« Évolutions non contrôlées des principes ou paramètres de sécurité »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
21 | 24 | 33 | 28 | 32 | 30 |
« Difficulté ou impossibilité d’alimenter le SIEM avec les logs du cloud »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
28 | 34 | 34 | 31 | 32 | 27 |
On a moins de recul sur le manque d’expertise des architectes et des admins que sur la plupart des autres items. Le taux de réponses « risque fort » est comparable concernant le contrôle de l’utilisation du cloud par les salariés.
« Expertise encore trop rare, attendue de la part des architectes et des administrateurs »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
40 | 43 | 34 |
« Maîtrise difficile de l’utilisation […] par les salariés de votre entreprise »
V2 | V4 | V5 | V6 | V7 | V8 | V9 |
42 | 47 | 46 | 44 | 33 | 35 | 32 |
Illustration © Macrovector – Shutterstock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…