Principales tendances en matière de sécurité des données : Les enseignements du rapport 2021 sur les données de Thales

Comment la pandémie de COVID-19 a-t-elle affecté la sécurité des données ?

Nous avons constaté de première main de nombreux impacts immédiats, et nous savons également que de nombreux impacts à plus long terme sont encore en cours d'élaboration. Mais il est essentiel de comprendre exactement à quoi ressemblent ces changements dans tous les domaines pour tracer la meilleure voie à suivre.

C'est ce qui ressort du rapport 2021 Thales Data Threat Report, sponsorisé par Keyfactor , qui a interrogé plus de 2 600 professionnels de la sécurité et cadres dirigeants sur des sujets aussi variés que le COVID-19, les stratégies de travail à domicile ou l'informatique quantique.

Voici quelques-uns des résultats les plus marquants.

La pandémie a inauguré de nouvelles méthodes de travail, dont bon nombre d'organisations prévoient de poursuivre, au moins dans une certaine mesure, à l'avenir. Elle a notamment fait passer le travail à distance du statut d'exception à celui de norme et a accéléré les migrations vers le cloud. Ces changements ont eu un impact direct sur les stratégies de sécurité et ont initialement pris de nombreuses organisations au dépourvu. 

En fait, 46 % des personnes interrogées ont déclaré que leur infrastructure de sécurité n'était pas prête à gérer l'éventail des risques associés au nouvel environnement commercial engendré par la pandémie.

Près de deux tiers des organisations s'attendent à ce que l'augmentation du travail à distance devienne une tendance permanente. Mais de nombreuses organisations n'étaient pas préparées à ce type d'environnement en mars 2020.

Plus précisément, 82 % des personnes interrogées ont exprimé des inquiétudes quant à l'accès à distance des employés aux systèmes au début de la pandémie. En creusant un peu, on s'aperçoit que ces inquiétudes pourraient provenir des méthodes utilisées pour gérer le travail à distance, à savoir principalement le VPN (60 %) et l'infrastructure de bureau virtuel (56 %). Aucune de ces approches plus traditionnelles n'offre un contrôle granulaire permettant de sécuriser et de gérer efficacement les divers besoins liés au fait que toute une population d'employés travaille à distance.

Les organisations ont déjà fait de grands progrès pour relever ce défi. À l'avenir, les principales méthodes d'accès que les organisations prévoient d'utiliser sont l'accès au réseau sans confiance/le périmètre défini parsoftware(44 %) et la gestion des accès basée sur l'informatique dématérialisée (42 %). Ces approches plus modernes donnent aux équipes de sécurité plus de flexibilité et de contexte pour authentifier les utilisateurs en fonction des besoins.

Le passage au nuage était déjà en cours et la pandémie n'a fait qu'accélérer ce mouvement, 33 % des personnes interrogées considérant l'infrastructure/le nuage comme leur investissement le plus important pour l'année à venir.

Le plus grand défi auquel la plupart des organisations ont été confrontées dans ce domaine au cours de l'année écoulée a été de sécuriser correctement les données sensibles dans le nuage par l'utilisation du cryptage. Plus précisément, 83 % des personnes interrogées ont déclaré que moins de 50 % de leurs données sensibles stockées dans le nuage étaient cryptées. Cela n'est pas surprenant étant donné que près de la moitié des personnes interrogées ont déclaré que la gestion des réglementations en matière de confidentialité et de protection des données dans l'informatique dématérialisée était plus complexe que sur site.

Les organisations ont encore des progrès à faire dans ce domaine, mais le fait que les professionnels de la sécurité reconnaissent ces risques et augmentent leurs investissements en conséquence est un début prometteur.

Le rapport affirme que la mesure ultime de la sécurité se résume à la capacité d'une organisation à se protéger contre les violations. Pour ce faire, il est important de comprendre à quoi ressemblent les menaces potentielles à l'avenir ; toutefois, ce point de vue a révélé un décalage important en fonction du rôle de l'organisation.

Les praticiens, qui sont généralement confrontés directement aux conséquences d'une attaque, étaient plus susceptibles de penser que les menaces allaient augmenter à l'avenir que les cadres, qui sont généralement plus éloignés de la réalité quotidienne (56 % des praticiens ont perçu une augmentation des menaces contre 46 % des cadres).

Il est essentiel de s'assurer qu'ils ne sous-investissent pas dans des pratiques sécurisées pour se protéger contre une augmentation potentielle des attaques à l'avenir. L'un des meilleurs points de départ pour les cadres est de prendre des mesures qui peuvent les aider à mieux comprendre les menaces auxquelles les praticiens sont confrontés quotidiennement.

Près de la moitié des personnes interrogées s'inquiètent de l'arrivée de l'informatique quantique et de son potentiel à briser les approches cryptographiques actuelles, ce qui peut entraîner de graves risques pour la sécurité.

Le fait que l'informatique quantique soit au centre des préoccupations de tant d'organisations montre que l'arrivée tant attendue de l'informatique quantique se profile enfin à l'horizon et que de nombreux dirigeants essaient de planifier à l'avance - peut-être pour éviter d'être pris au dépourvu comme ils l'ont été avec les changements dans les styles de travail au début de la pandémie.

L'un des meilleurs moyens pour les organisations de se préparer à l'arrivée de l'informatique quantique est d'améliorer la crypto-agilité, par exemple en évaluant et en commençant à introduire des techniques de cryptographie post-quantique.

Enfin, l'enquête a révélé que, même si le chiffrement et la gestion des clés arrivent en deuxième position dans les priorités de dépenses, les personnes interrogées considèrent le chiffrement comme l'option la plus efficace pour protéger les données sensibles.

Ces réponses représentent un déséquilibre qui doit être corrigé. Les organisations devraient envisager sérieusement d'augmenter leurs investissements dans le chiffrement, étant donné l'efficacité de cette approche dans la protection des données sensibles. C'est d'autant plus vrai que les données non chiffrées constituent une zone de faiblesse connue alors que les entreprises continuent d'accélérer les migrations vers le cloud.

Pour renforcer efficacement le chiffrement, il faut introduire un programme solide de gestion des clés qui puisse évoluer en même temps que les identités croissantes de chaque organisation. Cela signifie que les responsables de la sécurité doivent aller au-delà des systèmes maison et des feuilles de calcul pour introduire des systèmes plus agiles et centralisés capables d'appliquer des politiques de manière très flexible, efficace et cohérente, le tout à la vitesse requise par les équipes DevOps modernes.

Qu'est-ce qui se profile à l'horizon pour la sécurité des données des organisations ? Quelles sont les plus grandes tendances qui empêchent les professionnels de la sécurité de dormir et quelles sont les priorités d'investissement de la plupart des organisations ? Téléchargez le rapport 2021 de Thales sur les données pour obtenir tous les détails.