Six tendances en matière de sécurité que doivent absolument connaître les entreprises en 2023
La sécurisation du cloud est une tâche qui mobilise des efforts constants et se complexifie d’année en année, à mesure que les clouds s’enrichissent de nouvelles caractéristiques et fonctionnalités, qui si mal exploitées, risquent d’être plus nuisibles qu’utiles. Les nombreuses conversations que nous avons eues avec des responsables et experts en sécurité nous éclairent sur ce que l’année2023 réservera aux entreprises.
- Le cloud va devenir de plus en plus complexe. Les capacités cloud ne cessent de se développer, et les charges de travail de la plupart des entreprises, qui ont déjà testé plusieurs générations de technologies cloud, impliquent souvent de multiples opérateurs cloud différents, et mobilisent de plus en plus un réseau de services SaaS tiers. Le cloud est différent des opérations sur site et, à bien des égards, plus difficile; raison pour laquelle la mise en place des outils et processus de sécurité doit intervenir le plus tôt possible. La migration vers le cloud nécessite une culture axée sur le développement et les opérations en continu, le cloud s’appuyant sur l’actualisation fréquente des services et des logiciels open source. D’où la nécessité d’adopter des pratiques de développement applicatif sécurisées et un changement organisationnel «shift-left».
- Les responsabilités des RSSI continueront à s’étoffer. Les RSSI se voient confier un mandat encore plus large par les dirigeants et conseils d’administration, qui leur demandent de ramener à zéro la probabilité d’intrusions, d’exfiltrations de données, de rançongiciels, etc. De fait, les RSSI doivent non seulement accroître leur influence (en rejoignant la direction, par exemple), mais aussi leur autonomie sachant que, dans le contexte économique actuel, leur budget ne sera guère revu à la hausse. La prévention quasi-exhaustive des failles de sécurité est un exercice extrêmement difficile, et ces professionnels n’auront ni le temps, ni les ressources pour faire des miracles à partir de solutions ponctuelles. Dans le cloud notamment, ils devront faire appel à des technologies tierces qui traitent nombre des aspects du problème, et reposent essentiellement sur l’automatisation, pour renforcer les capacités et les atouts de leurs équipes.
- Il faudra anticiper pour neutraliser les risques. Les chefs d’entreprises souhaitent anticiper les problèmes de sécurité, plutôt qu’être couverts par l’artillerie lourde uniquement lorsque les choses tournent mal. Il est intéressant de constater la motivation dont font preuve les entreprises pour s’atteler à cette tâche délicate. Sans doute est-ce la conséquence des nouvelles réglementations plus strictes sur la divulgation des failles de sécurité, des préoccupations croissantes concernant la stabilité opérationnelle face à la multiplication des incidents de sécurité, comme les rançongiciels, et d’une nouvelle prise de conscience (y compris chez les administrateurs) s’agissant de la prévention des incidents de sécurité, probablement plus rentable que la simple mise en conformité. Dans ces conditions, les entreprises privilégieront les technologies et plateformes de sécurité offrant non seulement des outils de surveillance et de reporting, mais proposeront également des mesures de prévention, comme le verrouillage réseau ou l’inaltérabilité des logiciels.
- L’approche «shift-left» sera incontournable et les risques liés à la chaîne logistique demeureront une préoccupation majeure. Le terme «shift-left» désigne la manière d’intégrer la sécurité davantage en amont, dès les premiers stades du cycle de développement logiciel. Car même si vos propres développeurs ne commettent jamais d’erreurs, étant donné que les logiciels open source et les services cloud sont en constante évolution, il y a toujours un risque que de nouvelles vulnérabilités et problèmes de sécurité s’immiscent dans la toute dernière version logicielle. Les risques liés à la chaîne logistique des logiciels demeurent délicats à traiter par l’industrie du logiciel. Plus tôt ces risques seront neutralisés, meilleurs seront les résultats obtenus en termes de sécurité.
- Les responsables sécurité et développement doivent travailler en équipe. Les développeurs de logiciels cloud ont toujours la hantise de casser des éléments lors de l’envoi du code en production. Une meilleure collaboration entre les équipes chargées de la sécurité et DevOps, peut amener ces derniers à devenir plus attentifs aux aspects sécuritaires de leur code. Si, par exemple, elles peuvent faire comprendre à un développeur que son code comporte une faille SQL, tout en lui ménageant une visibilité sur l’exécution à grande échelle de ce code dans des services en front-end, il y a fort à parier que le développeur en question corrige le souci en amont, avant que le problème ne se pose. Et en faisant prendre conscience aux acteurs DevOps que telle ou telle catégorie de code vulnérable est uniquement exploitée sur tel ou tel système back-end à faible trafic, auquel seuls des administrateurs autorisés ont accès, les équipes de sécurité aident les développeurs à hiérarchiser plus efficacement leurs priorités. La visibilité de l’équipe de sécurité sur les opérations est la clé de meilleures relations, et d’une entraide entre les spécialistes sécurité et les développeurs.
- La sécurisation des opérations dans le cloud est impossible en l’absence de visibilité très complète. Les entreprises doivent avoir une visibilité complète sur leurs opérations dans le cloud. Cette visibilité ne suppose pas de collecter la totalité des enregistrements et fichiers-journaux sur les ressources et les comportements, certes importants du point de vue de la sécurité, au risque de se retrouver avec un gigantesque tas d’informations non structurées. Elle exige plutôt un récapitulatif, dans une vue synthétique, de votre environnement cloud, qui soit compréhensible à la fois par les équipes de sécurité et les équipes DevOps, et qui leur permette d’appréhender l’architecture de leurs opérations, mais aussi de repérer les anomalies et les changements imprévus. La visibilité impose, en outre, de recueillir la totalité des informations contextuelles pertinentes sur les actifs et les ressources, leur emplacement, leur configuration, leur accessibilité, etc., puisque les équipes de sécurité comme les équipes DevOps ont besoin de ce contexte pour pouvoir analyser les incidents ou alertes et y remédier le plus rapidement possible. Sila visibilité est incomplète, les équipes de sécurité seront incapables de quantifier, prioriser ou même gérer les risques.
Que vous soyez RSSI, ingénieur sécurité ou logiciel, responsable DevOps, analyste sécurité ou chef d’entreprise indépendant, si vos opérations s’exercent dans le cloud, vous avez un rôle important à jouer pour ne pas vous laisser distancer par un environnement de sécurité en pleine mutation. Il est essentiel de cerner votre environnement cloud, et les risques inhérents à celui-ci, afin de vous préparer, vous et votre entreprise, aux inéluctables menaces qu’il faudra affronter cette année.