Cloud : pénurie de compétences en cybersécurité disponibles

par Alain de Fooz | Août 22, 2017 | Expérience | 0 commentaires

Forte transition vers le cloud hybride. Dès lors, estime McAfee, la question des compétences en gestion de la sécurité devient centrale.

La sécurité continue-t-elle de freiner l’adoption du cloud computing ? 46% des professionnels de l’informatique interrogés par McAfee, la filiale de sécurité d’Intel, répondent par l’affirmative. Aujourd’hui, si leur réticence ne concerne plus les données proprement dites, elles se porte sur la pénurie de compétences en cybersécurité disponibles pour gérer les projets basés sur le cloud.

Cette disette de talents est d’autant plus marquée que 93% des entreprises utilisent désormais des services de cloud computing sous une forme ou une autre. Conséquence directe : 49% des entreprises disent avoir mis un frein à leur adoption du cloud computing en raison d’un manque de compétences en cybersécurité ! Qui plus est, la transition vers les architectures hybrides s’accompagne d’une diminution du nombre moyen de services de cloud utilisés, qui ne fait que baisser…

En cause, donc, la sécurité qui réclame de nouvelles compétences technologiques, tant dans le domaine des réseaux et des systèmes d’exploitation que de la sécurité des données. Qui dit cloud dit expertise générale plus étendue, que celle-ci concerne la connaissance des réglementations de conformité ou la gestion des fournisseurs. Cette demande de compétences spécialisées et générales est parfaitement représentée dans le modèle de responsabilité partagée du cloud public, où la protection des éléments de l’environnement informatique relève de la responsabilité du fournisseur de services dans certains cas et de l’entreprise dans d’autres.

Des compétences spécifiques sont nécessaires dans la gestion des identités, l’authentification multifacteur, y compris la tokenisation, quels que soient les services déployés : SaaS, PaaS, IaaS ou plusieurs d’entre eux. Même nécessité de compétences en matière de chiffrement. Et, plus globalement, de prévention des fuites de données. Plus important encore, savoir comment intégrer les stratégies de protection des données dans le cloud avec les stratégies de l’entreprise.

En ce qui concerne les services SaaS, encore fait-il maîtriser les différentes applications utilisées ainsi que les outils de journalisation et de surveillance destinés à détecter les violations de sécurité et à avertir le personnel informatique concerné. L’analyse post-incident est une compétence essentielle pour neutraliser les menaces actives et améliorer la sécurité en vue de prévenir les incidents futurs.

Pour les environnements IaaS, la mise en service d’une infrastructure définie par logiciel nécessite des professionnels de la sécurité hautement qualifiés et capables de créer des stratégies de sécurité des serveurs, du stockage et du réseau sur Amazon Web Services ou d’autres plates-formes. Parmi les compétences requises, citons la surveillance de l’utilisation des services de calcul, de stockage, de mise en réseau et de base de données, ainsi que la gestion des incidents de sécurité identifiés dans la plate-forme cloud utilisée.

Summary