Professionnels de la sécurité de l'information : attachez votre ceinture avant de prendre la route de la transformation numérique

L'industrie informatique a connu de nombreuses révolutions, que ce soit avec l'ère du client-serveur, l'avènement d'Internet, la virtualisation ou encore la mobilité, mais sans l'impact hors normes de la transformation numérique. Pour les professionnels de la sécurité de l'information, les implications sont nombreuses et leur imposent de s'adapter sans délai aux mutations profondes induites par ce mouvement.

« Que vous soyez prêts ou non, cela va vous concerner de près et très bientôt, » a déclaré Scott Crawford, directeur de recherches en sécurité de l'information chez 451 Research lors de l'édition 2017 de la Conférence Qualys sur la sécurité (QSC).

Les rouages de la transformation numérique

La transformation numérique, à savoir l'utilisation novatrice d'une informatique qui sert mieux les clients, partenaires et employés, qui améliore le fonctionnement de l'entreprise, qui réorganise les marchés et qui invente des modèles économiques, est portée par trois éléments-clés :

  • La possibilité de générer, collecter et analyser des volumes de données toujours plus importants et à un niveau sans précédent
  • La migration des systèmes propriétaires vers une nouvelle architecture qui s'appuie sur le Cloud
  • La prolifération de nouveaux points d'extrémité intelligents et le besoin associé de repousser l'informatique vers la périphérie

À l’occasion d'une intervention intitulée "Not Just One Revolution: Extending Security Throughout Digital Transformation” lors de la conférence Qualys, Scott Crawford a rappelé que « le Cloud joue un rôle majeur car il permet de profiter de l'évolutivité et de l'élasticité offertes par la technologie de virtualisation ».

Cependant, l'informatique dans le Cloud n'est pas le seul facteur-clé de cette transformation en cours. En effet, d'autres technologies, dont l'automatisation des logiciels et les processus notamment DevOps, sont également au cœur de ces changements. Même si ces fonctionnalités sont souvent apparues en même temps que le Cloud, leur véritable intérêt est de permettre d'accélérer la fourniture de technologies pour s’adapter au rythme toujours plus effréné du monde des affaires.

Les fondements de la « Nouvelle informatique » : API, automatisation et actifs

L'impact de l'automatisation est évident dans les environnements DevOps, là où les développeurs et l'équipe IT collaborent pour fournir en permanence et rapidement du code et imposer l'agilité partout dans l'entreprise.

Dans les pipelines du développement logiciel associés au DevOps, nombreuses sont les étapes liées à la création et au déploiement d'une application qui ne sont plus manuelles (programmation, tests, déploiement, supervision, etc.). « L'automatisation a un impact profond sur la conception, le développement et la mise en œuvre de la technologie, » a déclaré Scott Crawford.

Intimement associées à l'automatisation, les API (interfaces de programmation d'applications) profitent des nombreux avantages de cette dernière en permettant à des outils hétérogènes d'être intégrés, de fonctionner ensemble et de partager des données.

Grâce aux API, les environnements IT classiques dans lesquels l'infrastructure est physiquement déployée et où les outils sont dédiés et en silo font place à des infrastructures programmables avec des composants interopérables.

En parallèle, les actifs propriétaires autonomes tels que les points d'extrémité, les serveurs, les équipements réseau et les terminaux mobiles sont en train d'être remplacés par des serveurs virtualisés, des conteneurs, des microservices, une infrastructure sous forme de code et des plateformes de fournisseur de services Cloud.

Au final, les environnements de cette « Nouvelle informatique » se caractérisent par des performances accrues, une souplesse supérieure, une résilience renforcée et une praticité plus grande toujours selon Scott Crawford.

Les avantages pour l'InfoSec

Même si l'équipe InfoSec n'a pas forcément été au cœur de ce mouvement destiné à rendre l'IT plus efficace, accessible et réactive, il est désormais plus facile de résoudre certains problèmes de sécurité épineux. « Alors qu'il fallait hier plusieurs heures pour réaliser un scan réseau à des fins de gestion des actifs, le même processus ne prend désormais que quelques secondes grâce aux appels des API, » a précisé S. Crawford.

De même, la réponse à incident et l'analyse associée, un processus historiquement lent et manuel, a été massivement automatisée, tout comme d'autres tâches telles que la collecte de preuves pour les audits de conformité IT et la maintenance des serveurs.

De nouvelles opportunités permettant d'améliorer les processus InfoSec sont également en train de voir le jour, notamment l'insertion de la sécurité au DevOps. En faisant collaborer l'équipe InfoSec et les équipes DevOps et en intégrant des produits de sécurité automatisés aux outils de développement et d'opérations IT, il est possible de détecter et de résoudre de manière précoce les problèmes de sécurité et de conformité, et ce souvent au cours du cycle de vie d'une application.

Ainsi, la cadence imposée à la sécurité se rapproche de celle dictée au développement et au déploiement des logiciels de l'IT moderne.

« Il nous faut profiter davantage de cette évolution et contribuer à briser les silos qui ont non seulement isolé le Développement de la Sécurité, mais aussi séparé l’IT de la Sécurité » a déclaré Scott Crawford en insistant sur l'intégration le plus tôt possible des équipes Sécurité et IT, c'est-à-dire en amont du pipeline DevOps. « Plus vous investissez dans le processus de construction pour réduire les défauts avant la phase de commercialisation, moins les dépenses pour corriger après-coup ces mêmes défauts seront élevées, » a-t-il déclaré.

Ce voyage n'est pas une sinécure

Les avantages impliquent également des défis à relever. Tout d'abord, le rythme de développement et de déploiement de la technologie est désormais beaucoup plus rapide et les changements sont permanents dans ces environnements informatiques, ce qui exige de nouvelles compétences et connaissances de la part des équipes IT et InfoSec.

« Nous n'allons pas pouvoir continuer d'utiliser beaucoup de tactiques du passé, » a aussi déclaré Scott Crawford.

De nouveaux outils voient sans cesse le jour. Sur le seul marché de l'automatisation DevOps, des tas de produits permettent d'exécuter des tâches telles que la gestion de la configuration des logiciels, l'intégration et la fourniture en continu, la gestion des versions, la gestion des référentiels, la journalisation, la création, les tests, la mise en conteneur ou encore et bien sûr la sécurité.

Et Scott Crawford de préciser que cet ensemble d'outils est tout simplement impressionnant, pointant vers une de ses diapositives avec un échantillon d'environ 90 produits pour DevOps. « Si vous comptez relever les défis et saisir les nouvelles opportunités avec vos compétences actuelles, vous allez devoir vous remettre sacrément à niveau. »

Une infrastructure évanescente

La tendance du début des années 2000 avec la virtualisation qui s'est poursuivie avec l'adoption par les entreprises de services IaaS, PaaS et SaaS dans le cloud public, a donné le jour aux conteneurs et microservices d'aujourd'hui et promet une « informatique sans serveur ».

Bien entendu, une « informatique sans serveur » ne peut exister sans des ressources IT sous-jacentes que l'industrie a historiquement conçues comme des fonctionnalités serveur. Cela renvoie à un paradigme où ceux qui utilisent cette informatique confient au fournisseur de services l'application ou la logique métier nécessaire pour exécuter une tâche spécifique, d'où le modèle parfois appelé « Fonctions sous forme de service ».

L'infrastructure informatique sous-jacente, la disponibilité et les performances sont toutes gérées et garanties par le fournisseur et transparentes pour l'utilisateur. Activées selon les besoins et pour une durée limitée, ces fines couches de fonctionnalité renforcent les performances de la plateforme de fourniture.

Toujours selon Scott Crawford, concernant la sécurité déjà déployée pour protéger les nouvelles applis Web s'appuyant sur de multiples composants tiers et contenant une profusion d'API, cette abstraction accrue de l'infrastructure IT est un gage de performances tout en induisant des risques supplémentaires.

« Quelles sont les données au cœur de ces nombreuses fonctions ? Exposent-elles à des risques supplémentaires les données sensibles dont vous avez la charge ? Comment évaluer tout cela ? Comment faire pour contrôler l'accès à ces fonctions ? » a ensuite demandé M. Crawford.

Pour s'adapter à ces changements, l'équipe InfoSec devra adopter de nouveaux outils qui seront basés sur des API, destinés à ces nouveaux environnements IT et également souples et évolutifs. En outre, il faudra que les professionnels de la sécurité adoptent encore plus d'outils d'automatisation, non seulement pour les DevOps mais aussi pour d'autres tâches telles que l'orchestration de la sécurité, l'automatisation des processus et la réaction aux incidents.

Les équipes InfoSec seront aussi amenées à sélectionner des fournisseurs dont les produits de sécurité offrent des fonctionnalités d'analyse des données à la fois puissantes et utiles. En effet, cette capacité à analyser de gros volumes d'information de sécurité est cruciale pour protéger les infrastructures et processus ainsi que les systèmes sur site classiques qui ne vont pas disparaître du jour au lendemain.

Ces données proviendront de systèmes IT propriétaires, de nouvelles architectures cloud, de capteurs d'objets connectés, de sources non informatiques et de tout un éventail de connexions à des API. Elles devront être stockées, gérées et distribuées à différents utilisateurs, moteurs d'analyse, outils et API.

Enfin, l'objectif des équipes InfoSec est d'atteindre ce que Scott Crawford appelle une « conscience situationnelle exploitable. »  Nous souhaitons pouvoir utiliser tous ces types de données et en tirer toutes les données exploitables pour renforcer la sécurité et nous permettre de réagir ».

Les professionnels de l'InfoSec doivent donc continuer de s’impliquer et de s’informer sur l'évolution de l'IT et s’interroger de manière proactive pour anticiper les conséquences de ces changements sur la sécurité et la conformité.

Juan C. Perez – Qualys