Alors que les risques cyber explosent, les entreprises vont devoir faire plus avec moins compte tenu de la situation économique actuelle. Bon nombre d’entre elles vont ralentir, voire interrompre toute embauche jusqu’à ce que les signes de récession disparaissent.
Sécurité des applications cloud: faire plus avec moins
À quels défis majeurs les équipes de sécurité devront-elles pourtant faire face ? Emilio Escobar, CISO de Datadog nous livre son expertise sur le sujet.
Les budgets de sécurité remis en question
Cela ne signifie pas pour autant que les entreprises vont réduire leurs dépenses de sécurité. En revanche, l’habitude d’acheter plusieurs dizaines de solutions de sécurité différentes va changer. Les équipes auront pour défi de se procurer et de mettre en place uniquement l’essentiel. Cela se produira avec une diminution ou une stagnation des effectifs de sécurité. C’est une bonne chose pour l’industrie: l’idée générale selon laquelle « plus il y en a, mieux c’est » en matière de sécurité a eu pour conséquence une croissance exponentielle du nombre de problèmes potentiels à remédier pour les équipes d’ingénierie.
Cela a finalement décentré les équipes sécurité et d’ingénierie de l’objectif commun de réduction du risque. La situation déclenchée par l’environnement économique actuel doit nous permettre de réfléchir collectivement aux manières les plus efficaces de protéger nos environnements cloud en nous focalisant sur les menaces les plus importantes.
Accélération de l’adoption du cloud
Cependant, le paysage économique actuel ne freinera pas l’adoption du cloud. Les entreprises chercheront au contraire à l’accélérer pour « faire plus avec moins ». Plus que jamais, elles s’engageront à améliorer ou étendre l’automatisation, mieux gérer les coûts (FinOps), migrer les applications On-Premise vers des modèles SaaS, et augmenter la vélocité pour générer plus de revenus.
Il sera alors nécessaire de rendre les pratiques de sécurité compatibles avec l’agilité qu’implique le cloud et, par conséquent, de remettre en question l’état d’esprit traditionnel de rigueur et de procédures strictes, sans pour autant sacrifier la sécurité. D’avantage de ressources cloud se retrouveront ouvertes au monde, créant ainsi une surface d’exposition plus vaste pour les organisations. En effet, une simple erreur telle qu’une identité mal configurée permet alors à des attaquants de pénétrer les systèmes de l’entreprise. Par conséquent, nous allons assister à un développement du marché des solutions de sécurisation du cloud et des données. Les équipes de sécurité seraient bien avisées de s’approprier les environnements cloud, d’apprendre à les protéger en collaborant étroitement avec les ingénieurs qui les conçoivent, et d’intégrer les outils en capitalisant de préférence sur les solutions existantes.
Code, code, et code !
Le code sera la pierre angulaire pour « faire plus avec moins ». Cela sous-entend le besoin d’accélérer les stratégies produits pour garder les clients engagés et en acquérir de nouveaux. Bien que cela soit essentiel pour résister à la conjoncture économique actuelle, les entreprises devront le faire avec efficacité, sans nécessairement embaucher 30% d’employés supplémentaires. De plus en plus d’entreprises s’orienteront vers l’ingénierie de plateforme.
Tout sera géré via le code, introduisant ainsi de nouveaux défis en matière de sécurité.
- Une chaîne d’approvisionnement logicielle encore plus critique
Il faut s’attendre à ce que davantage de vulnérabilités soient révélées dans les packages open source essentiels ou que ces derniers soient compromis par l’insertion de code malveillant. Le mode opérationnel des équipes sécurité sera mis à l’épreuve car elles ne peuvent agir seules pour sécuriser leur chaîne d’approvisionnement logicielle. Elles doivent collaborer avec les équipes d’ingénierie, proposer des solutions qui s’intègrent en toute fluidité à l’existant et n’ introduisent pas de nouveaux outils ou procédures auxquels les développeurs ne sont pas habitués.
- Plus d’applications et moins d’infrastructure
L’adoption du cloud rapprochera de plus en plus les applications des utilisateurs avec l’usage de technologies telles que le Serverless ou Wasm (langage WebAssembly). Ces environnements seront d’autant plus touchés par des attaques. La sécurité applicative deviendra encore plus critique et les équipes de sécurité seront mises au défi de trouver des contrôles appropriés comme les technologies RASP (Runtime Application Self Protection)/WAF (Web Application Firewall) tout en gardant à l’esprit l’expérience développeur.
- Pas de compromis entre expérience utilisateur et sécurité
Le paradigme de l’accès aux environnements et aux applications devra profondément changer. De plus en plus d’équipes remplaceront les VPN traditionnels par des solutions de contrôles d’accès plus modernes qui bouleversent déjà l’approche actuelle de la gestion des accès et des identités en offrant plus d’automatisation et de facilité d’utilisation.
Repenser l’utilisation de sous-traitants ?
Au regard des récentes failles causées par la compromission de sous-traitants logiciels, on peut s’attendre à ce que les cybercriminels continuent à se concentrer sur ces cibles lucratives. Une bonne raison de repenser la modélisation de menaces de certaines des solutions en place et déterminer rapidement celles pour lesquelles des tiers ont des accès critiques ou effectuent des actions sensibles. Les entreprises évolueront progressivement vers des solutions plus modernes limitant ainsi leur dépendance envers des tiers.
Enfin, nous continuerons à assister à l’émergence d’une nouvelle ère pour les produits de sécurité. Ces produits ne s’adresseront pas seulement aux équipes de sécurité et placeront l’expérience développeur au centre, à tel point qu’ils pourront être mis en place directement par les équipes de développement, sans l’aval des équipes sécurité. Ces solutions devront s’intégrer extrêmement facilement ou seront immédiatement mises de côté. Par ailleurs, on observe de plus en plus de dirigeants de départements d’ingénierie voulant développer un ADN sécurité dans leurs équipes. Leur objectif est de ne pas avoir à traiter avec les équipes de sécurité centrales dont les pratiques sont souvent perçues comme étant non compatibles avec leur exigence de vélocité. Un signe très révélateur qui tord le cou à l’idée répandue que jusqu’à présent « les ingénieurs ne se soucient pas de la sécurité ».
Smart DSI N° 29
Dossiers complémentaires sur le thème des Applications Cloud avec les experts du site iTPro.fr :
La vraie valeur des outils d’observabilité des applications Cloud
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.