Le cabinet Tenable Research a publié son rapport « L’état de la sécurité dans le cloud et l’IA d’ici 2025 », révélant que l’évolution rapide des systèmes hybrides, multicloud et d’intelligence artificielle dépasse les stratégies de sécurité cloud, créant ainsi de nouvelles couches de complexité. Selon cette étude, 34 % des organisations ayant des charges de travail en IA ont déjà subi des violations liées à cette technologie, et 14 % restent incertaines.

Des environnements complexes dominent, mais la sécurité ne suit pas le rythme

L’étude montre que 82 % des organisations opèrent actuellement dans des entours hybrides, combinant infrastructures locales et cloud, tandis que 63 % font appel à plusieurs fournisseurs cloud. De plus, plus de la moitié des entreprises (55 %) ont déjà intégré l’intelligence artificielle (IA) dans leurs opérations productives.

Cependant, les mesures de sécurité ne progressent pas au même rythme que l’adoption technologique. Seule une organisation sur quatre (26 %) effectue des tests de sécurité spécifiques à l’IA, 22 % appliquent des classifications et un chiffrement des données, et seulement 15 % ont adopté des pratiques de MLOps (opérations d’apprentissage automatique) axées sur la sécurité. Conséquence : apparaissent une visibilité fragmentée, une gestion incohérente des identités et des lacunes dans la supervision des risques, autant de vulnérabilités exploitables par les attaquants.

L’identité : le maillon faible de la sécurité cloud

L’identité émerge comme la vulnérabilité principale : 59 % des organisations ont identifié des identités non protégées et des permissions dangereuses comme leur principal risque de sécurité dans le cloud. Parmi celles ayant subi des violations, trois des quatre causes principales étaient liées à l’identité : permissions excessives (31 %), contrôles d’accès incohérents (27 %) et mauvaise hygiene des identités (27 %).

Bien qu’elles en reconnaissent le problème, les entreprises font face à des lacunes structurelles pour y remédier. Selon l’étude, 28 % signalent un décalage entre les équipes cloud et IAM, et 21 % rencontrent des difficultés à appliquer le principe du moindre privilège. La priorité pour les 12 prochains mois est justement la mise en œuvre de ce contrôle (44 %) dans le cadre d’une stratégie Zero Trust.

Les incidents ont des causes connues, mais la focalisation reste sur les risques « nouveaux »

Les incidents liés à l’IA sont en réalité causés par des menaces traditionnelles, telles que des vulnérabilités logicielles (21 %), des défaillances de modèles (19 %), des menaces internes (18 %) et des configurations incorrectes dans le cloud (16 %). Cependant, les équipes de sécurité se concentrent surtout sur des risques perçus comme « nouveaux », comme la manipulation de modèles (18 %) et l’utilisation de modèles non autorisés (15 %), illustrant une déconnexion entre perception du risque et réalité. Cette divergence indique que bon nombre de programmes de sécurité traitent encore l’IA comme une nouveauté, plutôt que d’appliquer des principes éprouvés de sécurité cloud et d’identité à ces systèmes innovants.

Le déficit de connaissances freine l’alignement stratégique

L’étude souligne que 34 % des répondants citent le manque de compétences spécialisées comme le principal défi. Par ailleurs, 31 % estiment que leur direction ne possède pas une connaissance suffisante des risques liés à la sécurité cloud, et 20 % considèrent que les leaders croient que les outils intégrés du fournisseur cloud sont « suffisants ».

« Les entreprises mexicaines adoptent l’IA et le multicloud à une vitesse sans précédent, mais beaucoup opèrent encore avec des outils fragmentés et sans visibilité unifiée », déclare Arturo Barquín, Directeur général de Tenable Mexique. « Il est crucial de passer d’un modèle réactif à un modèle proactif dans la gestion des vulnérabilités. Cette étape permettra non seulement de réduire le risque, mais aussi de renforcer la confiance des partenaires mondiaux », conclut-il.

Vers la maturité

Pour renforcer leurs programmes de sécurité cloud et IA, l’étude recommande aux organisations de :

• Prioriser la visibilité unifiée et l’application cohérente des politiques dans les environnements hybrides et multicloud
• Investir dans la gouvernance des identités, notamment en contrôlant les privilèges minimaux et les identités non humaines (IA)
• Élargir les indicateurs clés de performance pour refléter la prévention et la résilience, et non seulement la réponse aux incidents
• Aligner la compréhension du leadership avec la réalité opérationnelle pour une planification et une allocation de ressources plus intelligentes
• Aller plus loin que le simple respect des réglementations, en utilisant l’IA comme point de départ pour des mesures de protection technique plus approfondies

« Nous vivons la plus rapide évolution de l’histoire du cloud computing. Malheureusement, comme le souligne notre étude, de nombreuses stratégies de sécurité datent déjà », indique Jim Reavis, Cofondateur et PDG de l’Alliance pour la sécurité dans le cloud. « Le risque de rester statique augmente chaque jour. Les organisations doivent repenser leur approche et développer des défenses adaptatives, capables d’évoluer aussi vite que la technologie qu’elles cherchent à protéger ».