Vitesse vs sécurité: protéger les applications et les API au rythme de l'entreprise moderne

Par Fahd Azouiar

L’accéleration de la vie des affaires crée un fossé dans la manière dont les applications sont développées et la façon dont elles sont protégées. En exploitant une infrastructure et des applications modernes, les entreprises peuvent mieux rivaliser et s’adapter plus rapidement. Cependant, elles pourraient également compromettre la sécurité. Nous faisons le point.

 

Des applications monolithiques aux microservices. 

Aujourd’hui, 98% des entreprises dépendent d’applications pour exécuter ou soutenir leur activité . Selon des enquêtes récentes, le nombre de ces applications construites avec des microservices est passé de 40% en 2019 à 60% en 2020, 54% des entreprises utilisant des microservices dans certaines ou toutes leurs applications. D’ici 2022, on s’attend à ce que 90% de toutes les nouvelles applications intègrent des architectures de microservices. Ces tendances soulignent non seulement l’importance des applications modernes pour les entreprises, mais également le besoin de rapidité et d’ l’agilité lors de leur déploiement. 

De plus en plus d’organisations évoluent probablement de la même manière, migrant des anciennes applications monolithiques vers les technologies cloud natives tout en mettant en œuvre les principes DevOps. Et avec raison.

Les marchés n’attendent pas que les entreprises s’adaptent. 

C’est pourquoi les entreprises sont obligées de prendre des mesures pour que leurs applications offrent la meilleure expérience possible. Mais offrir ces expériences nécessite une approche différente du développement d’applications.Une approche plus rapide et plus itérative qui offre la flexibilité dont les entreprises ont besoin pour rester compétitives.

Le DevOps, les microservices et les conteneurs peuvent tous contribuer à offrir cette agilité applicative très recherchée, en remaniant les approches démodées en faveur de méthodes de livraison modernes. Mais qu’en est-il des autres considérations clés telles que la protection de ces applications? Les politiques de sécurité peuvent-elles gérer le rythme ?

Une nouvelle ligne de front dans la lutte contre les brèches

Les pirates lancent en moyenne 2 500 attaques par jour. C’est une toutes les 40 secondes. Et un seul acte malveillant réussi est suffisant pour faire des ravages financiers et de réputation sur une entreprise, voire la détruire entièrement.

Le coût moyen d’une violation de données en 2020 était de 3,86 millions de dollars par entreprise. Et, en moyenne, seulement 5% des applications du portefeuille d’une organisation ont tendance à être correctement protégées.

Ce qui est encore plus inquiétant, c’est à quel point les attaques sont plus sophistiquées et étendues. Les pirates ne ciblent plus uniquement le code. Avec 40% des attaques contre les applications Web passant par des API, un nombre qui devrait atteindre 90% en 2021, les barrières ne fournissent tout simplement pas la protection requise dans les environnements modernes. Associez ce niveau de menace accru à des cycles de publication plus rapides et plus fréquents, où les failles de sécurité peuvent facilement passer à travers le filet, et cela peut rapidement devenir une recette pour un désastre.

“40% des attaques contre les applications Web passant par des API, un nombre qui devrait atteindre 90% en 2021”

Équilibrer les besoins de sécurité avec la rapidité de livraison

Aucune organisation ne veut restreindre l’agilité ou limiter l’innovation. De même, les entreprises ne sont pas disposées à mettre leurs données, ou celles de leurs clients, en danger. Néanmoins, à mesure que les exigences des entreprises modernes augmentent et que le développement d’applications modernes est nécessaire pour maintenir un avantage concurrentiel, les entreprises sont obligées de choisir entre les deux et d’arbitrer constamment. Soit vous accédez rapidement au marché et êtes potentiellement exposé, soit vous opérez lentement et en toute sécurité. Il ne devrait pas en être ainsi.

La vitesse des déploiements d’aujourd’hui rend presque impossible les politiques de sécurité d’autre fois constitant à appliquer la sécurité pendant les étapes finales d’une version. Compte tenu du ratio actuel d’environ 500 développeurs pour un professionnel de la sécurité , les chances ne sont pas en faveur de la protection des applications.

Par conséquent, la capacité à fournir une sécurité robuste et cohérente à travers les architectures d’applications et l’infrastructure est entravée. Les chefs d’entreprise comprennent l’importance de la sécurité, mais aussi la nécessité de commercialiser rapidement leurs applications. Les équipes DevOps ressentent souvent le ralentissement du déploiement par le SecOps. Pendant ce temps, le SecOps déplore fréquemment le manque de contrôles de sécurité fournis par le DevOps. En fait, 48% des professionnels techniques considèrent la sécurité comme un obstacle majeur à la livraison rapide de logiciels.

 

À la recherche de la simplicité de la sécurité

Il est clair que, pour que les entreprises stimulent l’innovation et restent agiles, l’efficacité de l’automatisation DevOps est cruciale. Néanmoins, pour progresser de manière agile et sécurisée, les entreprises doivent trouver un moyen d’intégrer la sécurité dans le cycle de vie d’une application, ne pas l’appliquer à la fin du développement ou tenter de la corriger avec des modules complémentaires. La sécurité et le développement d’applications ne doivent pas simplement coexister mais devenir un.fusionner. 

Le meilleur des deux mondes

Alors, y a-t-il un moyen de réaliser l’utopie de DevSecOps? Comment pourrait-on implémenter des politiques de sécurité d’application SecOps dans DevOps sans frictions?

Le premier changement nécessaire est l’état d’esprit. La pensée à l’ancienne n’a pas sa place dans un environnement de développement d’applications moderne. Toutes les parties devraient adopter l’idée de sécuriser les applications et non pas y voir un obstacle à surmonter. Toutes les équipes doivent s’engager dans la même direction, en travaillant vers un objectif commun: des applications sûres et de haute qualité livrées rapidement.

La sécurité intégrée doit devenir un standard dans le  processus de développement. Le moyen clé d’y parvenir est l’automatisation des politiques. Ce qui est également nécessaire, c’est une solution de sécurité légère qui surmonte les limites des pare-feu d’applications Web. Une telle solution devrait être compatible CI / CD, gérer et automatiser de manière centralisée les contrôles de sécurité approuvés, pour supprimer les goulots d’étranglement du flux de travail et prendre en charge les initiatives de développement. Cette démarche devrait être également soutenu par une organisation expérimentée, et améliorer la visibilité tout en optimisant les performances.

Si ce qui précède peut être atteint et la friction entre DevOps et SecOps peut être supprimée. En combinant les bons outils avec une culture de développement véritablement collaborative, il est clairement possible de fournir une protection puissante et cohérente qui correspond au rythme du développement d’applications modernes.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

© 2018 All rights reserved

LEDGERSQUARE