La nécessité d’innover plus rapidement et de passer à des architectures d’applications natives du cloud n’est pas seulement source de complexité, elle crée également des failles importantes en matière de sécurité.
Le concept de « cloud native » désigne les principes de conception, de logiciels et de services qui forment une architecture système hébergée dans le cloud. L’objectif d’une application cloud native est d’être hautement évolutive, résiliente et sécurisée en tirant parti des capacités de l’infrastructure basée sur le cloud, et en exploitant les méthodologies d’intégration continue pour permettre un développement et un déploiement plus rapides. Cependant, si les architectures modernes natives du cloud fournissent aux entreprises les moyens de déployer leurs applications en toute sécurité et à grande échelle, dans cette configuration, les approches traditionnelles de la sécurité des applications ne peuvent pas suivre l’évolution constante des environnements multiclouds et des processus DevSecOps.
Cette situation entraîne des angles morts et des incertitudes quant aux risques et à leur impact sur les applications natives du cloud. En mettant l’accent sur l’infrastructure cloud-first, les multiclouds dynamiques et les méthodologies agiles ont fragilisé la sécurité des applications cloud. C’est ce que démontre une étude mondiale menée par Coleman Parkes et commandée par Dynatrace en 2021, auprès de 700 RSSI de grandes entreprises de plus de 1000 employés. L’échantillon inclut respectivement 200 répondants aux États-Unis, 100 au Royaume-Uni, en France, en Allemagne et en Espagne, et 50 au Brésil et au Mexique.
Des écosystèmes IT de plus en plus complexes
Selon le rapport, « l’adoption croissante des architectures cloud natives, du DevOps et des méthodologies agiles, remet en question l’efficacité des approches traditionnelles en matière de sécurité des applications. Alors que les organisations confient plus de responsabilités à leurs développeurs pour accélérer l’innovation, ceux-ci doivent composer avec des écosystèmes IT de plus en plus complexes et des outils de sécurité devenant obsolètes, qui tendent, au contraire, à ralentir le rythme des releases ».
L’enquête révèle que pour 89 % des RSSI, les microservices, les conteneurs et Kubernetes ont créé des angles morts dans la sécurité des applications. Dans des environnements de production conteneurisés, 97 % des organisations n’ont pas de visibilité en temps réel sur les vulnérabilités de leurs runtimes, et près des deux tiers (63 %) des RSSI pensent que les approches DevOps et Agile ont rendu encore plus difficile la détection et la gestion des vulnérabilités logicielles.
Les contrôles traditionnels ne sont plus adaptés
À défaut de visibilité, les équipes sont en effet obligées de trier manuellement un nombre incalculable d’alertes, dont beaucoup sont en réalité des faux-positifs, reflétant des vulnérabilités dans des librairies qui ne sont pas utilisées en production. Une écrasante majorité (74 %) des RSSI considère que les contrôles de sécurité traditionnels, comme les scanners de vulnérabilités, ne sont plus adaptés au monde cloud d’aujourd’hui. Les organisations sont donc demandeuses d’une nouvelle approche, optimisée pour les environnements multicloud, Kubernetes et les approches DevSecOps.
Cette étude confirme ce que les scans de vulnérabilités manuels et les évaluations d’impacts ne sont plus en phase avec la vitesse d’évolution des environnements cloud dynamiques et l’accélération des cycles d’innovation. « À mesure que les organisations adoptent DevSecOps, elles ont besoin d’équiper leurs équipes de solutions fournissant des analyses de risques et d’impacts automatiques, continues et en temps réel, pour chaque vulnérabilité, sur les environnements à la fois de préproduction et de production, et non simplement des instantanés d’un moment donné, affirme Bernd Greifeneder, fondateur et CTO chez Dynatrace ».