Red Hat: “97% van de organisaties kreeg vorig jaar te maken met een cloudsecurity-incident”

Meer dan de helft noemt de huidige cloudaanpak binnen de organisatie proactief, maar amper 39% heeft hier ook een uitgewerkte strategie voor

Ondanks het groeiend zelfvertrouwen blijft cloudsecurity een heikel punt bij securityteams: te brede toegangsrechten, misconfiguraties en een structureel gebrek aan strategie zorgen ervoor dat organisaties van incident naar incident hollen. Dat blijkt uit het State of Cloud-Native Security Report 2026 van Red Hat, dat de cloudsecurity-praktijken van organisaties wereldwijd onder de loep nam.

Voor securityteams is 2025 geen rustig jaar geweest. 97% van de ondervraagde organisaties meldde minstens één cloudsecurity-incident in de afgelopen 12 maanden. Dat zijn zelden verfijnde, eenmalige aanvallen, maar doorgaans het resultaat van alledaagse fouten. De meest voorkomende oorzaken zijn misconfiguraties van infrastructuur of diensten (78%), gevolgd door het inzetten van workloads met bekende kwetsbaarheden (74%) en het niet naleven van regelgeving (67%).

Verlies aan productiviteit

De impact van incidenten gaat verder dan de IT-afdeling. 74% van de organisaties heeft de afgelopen 12 maanden applicatie-implementaties vertraagd of afgeremd wegens securityproblemen. Daarbovenop rapporteerde 92% aanzienlijke gevolgen, waaronder meer tijd kwijt aan herstelwerk (52%), minder productieve ontwikkelaars (43%) en verlies van klantvertrouwen (32%).

Zelfperceptie vs. werkelijkheid

Een opvallend inzicht is de kloof tussen zelfperceptie en werkelijkheid. De helft (56%) omschrijft de huidige cloudaanpak als sterk proactief, maar slechts 39% heeft daarvoor ook een goed gedefinieerde cloudstrategie. Ongeveer 22% opereert zonder enige strategie, met voorspelbare gevolgen op het gebied van security. Organisaties met een volwassen strategie rapporteren 61% vertrouwen in de security van hun softwaretoeleveringsketen – een stuk hoger dan de rest.

Voor 2026 wil een meerderheid deze achterstand wegwerken. Meer dan 60% plant investeringen in geautomatiseerde security binnen CI/CD-pipelines, 56% focust op de softwaretoeleveringsketen en 64% verwacht dat de EU Cyber Resilience Act investeringsbeslissingen zal sturen. AI voegt daar nog een laag aan toe: 96% maakt zich zorgen over generatieve AI in cloudomgevingen, maar 59% heeft nog geen intern AI-beleid uitgewerkt.

Het rapport sluit af met een duidelijke boodschap: de snelheid van cloud-native innovatie heeft de traditionele security-aanpak ingehaald. Organisaties die het verschil willen maken, moeten security structureel in hun platform inbouwen, in plaats van het er achteraf overheen te leggen. Dat vergt onder andere een uitgewerkte strategie, automatisering van securitycontroles en een governance-raamwerk voor AI dat niet wacht op externe regelgeving.