Pour être efficace il est primordial que la sécurité constitue un élément moteur du business des entreprises. Qu’il s’agisse de projets métier ou DevOps, toutes les initiatives doivent être soutenues et accompagnées, et non freinées de façon systématique. Cela est d’autant plus important qu’une partie croissante de l’activité des entreprises s’appuie désormais sur le cloud.
Pour répondre aux besoins des équipes DevOps et des multiples environnements cloud que les entreprises doivent protéger, une plateforme unifiée capable d’automatiser les contrôles de sécurité et la conformité des hôtes et des conteneurs, indépendamment du fournisseur de service cloud (CSP) ou du modèle de déploiement utilisé, est indispensable. Et pour garantir l’efficacité des mesures appliquées pour assurer la sécurité du cloud les entreprises doivent mettre en œuvre trois composants essentiels :
Des outils de sécurité unifiés et portables
Sur le cloud, les outils de sécurité traditionnels sont tout simplement inefficaces. En effet, ils ne sont pas conçus pour s’adapter à un environnement aussi dynamique, ce qui se traduit par des manquements en matière de visibilité et de sécurité. Relever les défis actuels de cybersécurité en utilisant des solutions hétérogènes représente une mission impossible pour les équipes de sécurité qui cherchent à rester en phase avec la réalité d’un monde conçu pour le cloud. À mesure que ces différents produits affichent leurs limites, les entreprises se voient dans l’obligation de déployer des approches ad hoc pour éliminer les angles morts et pallier le manque d’intégration.
Pour remédier à ce manque de visibilité, les entreprises modernes ont besoin d’une plateforme de sécurité « cloud-native » — en d’autres termes, d’une solution unifiée capable d’assurer une visibilité optimale du nombre sans cesse croissant de conteneurs et microservices qu’elles doivent protéger. Dotées d’une visibilité panoramique et d’une capacité de découverte permanente des charges de travail, ces plateformes facilitent l’identification des vulnérabilités et, à terme, aident les équipes DevOps à incorporer la sécurité dans les flux de travail d’intégration continue (CI) et de déploiement continu (CD) de sorte que les problèmes puissent être résolus avant l’entrée en production.
Pour être vraiment efficace, la sécurité informatique doit suivre le rythme imposé par le DevOps et être opérationnelle dans n’importe quel cloud, l’objectif étant de maintenir le niveau de protection et de visibilité lorsque les charges de travail se déplacent. Nous vivons dans un monde multiclouds, et les solutions de sécurité doivent s’y adapter.
Automatisation des processus rapides
Les changements à grande vitesse font eux aussi partie intégrante de ce « nouveau monde ». À titre d’exemple, les microservices peuvent être activés rapidement et se caractérisent souvent par une durée de vie éphémère. En outre, s’ils peuvent simplifier la mise à jour des applications, ces microservices soulignent également le caractère ô combien dynamique des environnements cloud.
Les entreprises doivent savoir quelles applications sont exécutées, où et par qui. Grâce aux outils de découverte et de surveillance automatiques des actifs, elles conservent la main sur ce qui se passe dans leur environnement cloud, sans subir le moindre ralentissement.
L’incorporation de la sécurité dans les processus d’intégration/déploiement en continu (CI/CD) améliore donc le niveau de protection en permettant une approche en amont de type « shift-left ». L’automatisation orchestre la sécurité en permettant de parer les vulnérabilités et de limiter les risques de sécurité avec une plus grande efficacité dès le début du cycle de développement, tout en prenant garde à empêcher l’introduction de failles de sécurité via des modèles d’infrastructure en tant que code (IaC).
Selon une récente étude menée par le cabinet IDC auprès de 300 responsables de la sécurité des systèmes d’information (RSSI), 67 % d’entre-eux considèrent la mauvaise configuration de la sécurité dans les environnements de production comme un souci majeur. En automatisant la découverte des erreurs de configuration, les entreprises peuvent réduire les risques qu’une faille soit exploitée et vienne perturber leur activité ou celle de leurs clients.
Grâce à l’automatisation, la sécurité n’est plus une menace pour les développeurs. A contrario, l’automatisation réduit la complexité et accélère les déploiements en faisant en sorte que les entreprises disposent de la visibilité et de la protection qu’elles requièrent.
Une approche intégrée et évolutive
Face aux discours favorisant l’alliance de la sécurité et du DevOps, il est clair que la sécurité ne peut être traitée comme une réflexion a posteriori ni comme un accessoire. Elle doit bel et bien être intégrée d’emblée au processus de développement et mise en œuvre afin de fonctionner en toute transparence avec les applications, les instances de cloud et les workloads déployés sur le cloud.
C’est pour cette raison que l’expression cloud-native incarne un élément essentiel d’une stratégie de sécurité efficace. Les outils « non cloud-native » augmentent le degré de complexité, dans la mesure où ils ne sont pas optimisés pour les applications natives en cloud et rendent de fait les tâches de surveillance plus compliquées. En outre, ils nécessitent davantage d’interventions manuelles. À l’inverse, les solutions cloud-natives garantissent un haut niveau d’homogénéité dans l’ensemble des environnements cloud. Fonctionnant à base d’API et intégrées aux outils DevOps, elles permettent aux entreprises de maintenir un niveau de sécurité et de conformité maximum sans trop d'efforts.
La solution choisie doit également permettre aux entreprises d’évoluer en fonction de leurs besoins. Tandis qu’elles poursuivent leur croissance, la sécurité des entreprises doit elle aussi évoluer. C’est pour cette raison que les solutions de sécurité cloud doivent pouvoir évoluer « à volonté », en ajoutant ou retirant des fonctionnalités en toute simplicité pour apporter aux entreprises le niveau de protection dont elles ont besoin au moment où elles en ont besoin.
Une plateforme de sécurité armée pour le cloud
Pour être efficace, une plateforme de sécurité informatique qui couvre différents environnements en cloud doit pouvoir compter sur chacun de ces composants essentiels. Une plateforme cloud native offre un haut niveau de visibilité et de contrôle des environnements de clouds publics, privés, hybrides et multiclouds. En automatisant la gestion de la sécurité du cloud d’un bout à l’autre du cycle de développement des applications et en assurant une surveillance en temps réel des ressources du cloud, une telle plateforme permet aux entreprises de se protéger de façon optimale contre toute menace potentielle.
Par David Puzas, Sr. Product Manager, Cloud Security chez CrowdStrike