Cloud : pénurie de compétences en cybersécurité disponibles
Forte transition vers le cloud hybride. Dès lors, estime McAfee, la question des compétences en gestion de la sécurité devient centrale.
La sécurité continue-t-elle de freiner l’adoption du cloud computing ? 46% des professionnels de l’informatique interrogés par McAfee, la filiale de sécurité d’Intel, répondent par l’affirmative. Aujourd’hui, si leur réticence ne concerne plus les données proprement dites, elles se porte sur la pénurie de compétences en cybersécurité disponibles pour gérer les projets basés sur le cloud.
Cette disette de talents est d’autant plus marquée que 93% des entreprises utilisent désormais des services de cloud computing sous une forme ou une autre. Conséquence directe : 49% des entreprises disent avoir mis un frein à leur adoption du cloud computing en raison d’un manque de compétences en cybersécurité ! Qui plus est, la transition vers les architectures hybrides s’accompagne d’une diminution du nombre moyen de services de cloud utilisés, qui ne fait que baisser…
En cause, donc, la sécurité qui réclame de nouvelles compétences technologiques, tant dans le domaine des réseaux et des systèmes d’exploitation que de la sécurité des données. Qui dit cloud dit expertise générale plus étendue, que celle-ci concerne la connaissance des réglementations de conformité ou la gestion des fournisseurs. Cette demande de compétences spécialisées et générales est parfaitement représentée dans le modèle de responsabilité partagée du cloud public, où la protection des éléments de l’environnement informatique relève de la responsabilité du fournisseur de services dans certains cas et de l’entreprise dans d’autres.
Des compétences spécifiques sont nécessaires dans la gestion des identités, l’authentification multifacteur, y compris la tokenisation, quels que soient les services déployés : SaaS, PaaS, IaaS ou plusieurs d’entre eux. Même nécessité de compétences en matière de chiffrement. Et, plus globalement, de prévention des fuites de données. Plus important encore, savoir comment intégrer les stratégies de protection des données dans le cloud avec les stratégies de l’entreprise.
En ce qui concerne les services SaaS, encore fait-il maîtriser les différentes applications utilisées ainsi que les outils de journalisation et de surveillance destinés à détecter les violations de sécurité et à avertir le personnel informatique concerné. L’analyse post-incident est une compétence essentielle pour neutraliser les menaces actives et améliorer la sécurité en vue de prévenir les incidents futurs.
Pour les environnements IaaS, la mise en service d’une infrastructure définie par logiciel nécessite des professionnels de la sécurité hautement qualifiés et capables de créer des stratégies de sécurité des serveurs, du stockage et du réseau sur Amazon Web Services ou d’autres plates-formes. Parmi les compétences requises, citons la surveillance de l’utilisation des services de calcul, de stockage, de mise en réseau et de base de données, ainsi que la gestion des incidents de sécurité identifiés dans la plate-forme cloud utilisée.