Les enjeux rencontrés par les professionnels de la sécurité et des opérations dans tous les secteurs d’industrie sont de plus en plus grands à mesure que les réseaux deviennent de plus en plus complexes. La segmentation croissante, combinée à des changements constants et le fait que les professionnels de la sécurité soient en nombre insuffisant, vient intensifier ces enjeux. La segmentation continue du réseau s’explique par les environnements multi-fournisseurs, où de nombreux produits disparates doivent être intégrés pour éviter les problèmes de configuration ou les faiblesses du réseau. Malheureusement, ce n’est généralement pas le cas du fait de la complexité accrue et des efforts demandés à des équipes IT déjà surchargées, ce qui crée de sérieux défis.
D’ailleurs, selon une étude de Cato Networks effectuée auprès de plus de 700 professionnels IT*, la complexité ressort comme étant le plus gros challenge que rencontrent les équipes IT en matière de réseau et de sécurité.
Ceci se traduit par un compromis : l’activité de l’entreprise exige plus d’agilité pour satisfaire les demandes du marché, souvent au préjudice de la sécurité. Une entreprise trop focalisée sur la sécurité souffrira d’un ralentissement du rythme de son activité, ce qui portera préjudice à l’agilité nécessaire pour répondre au marché et maintenir un avantage compétitif.
Avec les réseaux complexes et segmentés actuels, comment les entreprises peuvent-elles évaluer et améliorer leur niveau de maturité au gré de leur progression vers l’automatisation Zero-Touch ?
Commencer par le début
Au sein des réseaux complexes équipés de pare-feu, de dispositifs et de routeurs de plusieurs fournisseurs et avec des déploiements multi-cloud, le changement est constant et sans grande visibilité. En cas de demande de changement, il est difficile de savoir si la règle existe déjà ou si une nouvelle règle viendra casser la connectivité ou créera une exposition indésirable.
Avant d’aller plus loin, les entreprises ont besoin de visibilité sur les problèmes qu’elles rencontrent. Voici quelques-unes des questions qu’elles doivent se poser :
- Tiennent-elles le rythme des demandes de changement ou pas ?
- Comprennent-elles la topologie du réseau ?
- Les règles de sécurité sont-elles établies et suivies ?
- Comment surveillent-elles et tracent-elles les efforts de mise en conformité ?
- Est-ce que les équipes DevOps font tourner des applications sans contrôles de sécurité ?
- Ont-elles adopté le contrôle centralisé des règles de sécurité ?
Une fois qu’elles ont répondu à ces questions, les entreprises doivent également considérer les besoins des différentes divisions. Sachant que les équipes NetOps, SecOps et DevOps ont toutes des priorités différentes, il est difficile d’établir des contrôles. Les équipes DevOps, par exemple, souhaitent déployer de nouvelles applications et des services aussi vite que possible. Et si elles attendent de leurs applications qu’elles soient sûres, elles ne veulent pas que la sécurité entrave l’agilité de leur activité.
Sans automatisation, ceci se traduit par des opérations IT surchargées, des équipes de sécurité mécontentes et des applications qui ne suivent pas les règles de sécurité, tout ceci du fait du surcroît de complexité et de la dépendance vis-à-vis des processus manuels.
Le problème du maintien des processus manuels
La gestion manuelle des changements et l’application de politiques de sécurité disparates, tout en luttant constamment contre un raz de marée de demandes de changements génèrent un chaos que vient aggraver la segmentation du réseau. Non seulement, ces changements manuels prennent du temps, parfois des semaines, mais la configuration manuelle fait que les erreurs sont inévitables, ce qui accroît les risques de sécurité dans l’entreprise.
Une entreprise ayant suffisamment de visibilité et étant capable de surveiller le processus de changement, si elle opère des changements manuels sans pouvoir justifier de sa conformité, elle demeure ignorante des problèmes cachés sous la surface.
Si l’on devait placer des entreprises qui ont recours à des processus manuels sur une échelle de maturité de la sécurité réseau et de l’agilité (autrement dit la capacité d’une entreprise à accroître son efficacité et à assurer la sécurité), la plupart se classeraient dans le quadrant inférieur. Ceci tient d’un manque de visibilité et de contrôle pour équilibrer la balance.
La nécessité d’automatiser les règles de sécurité
Les entreprises ne devraient pas avoir à faire de compromis entre la sécurité et l’agilité de leur activité. L’équilibre s’obtient d’abord par la visibilité, puis par l’automatisation. L’automatisation des changements de sécurité réseau selon une règle de sécurité amène les entreprises à opérer ces changements rapidement et précisément en toutes circonstances, sur site, dans le cloud ou dans un environnement DevOps. Ce n’est qu’au travers de règles de sécurité centralisées que les entreprises peuvent gérer les changements à grande échelle.
Une telle approche aide à se conformer aux réglementations de l’industrie et aux audits internes, car les entreprises peuvent démontrer que les changements apportés aux règles des pare-feu ou à la connectivité des applications sont conformes aux règles.
De surcroît, instaurer une règle commune centralisée aide les équipes NetOps, SecOps et DevOps à adhérer efficacement aux mêmes règles, à gérer les changements en quelques minutes au lieu de plusieurs jours, et à gagner en efficacité business tout en maintenant une posture de sécurité solide.
Entre l’absence de visibilité et le gain de contrôle, l’objectif est d’atteindre l’automatisation Zero-Touch, où vos changements se font selon les règles et selon votre tolérance aux risques.
Enfin, ce processus oblige l’entreprise à prévoir comment elle va gagner en maturité et atteindre ce stade d’automatisation Zero-Touch. En suivant un modèle de maturité, les entreprises seront à l’avenir prêtes à s’adapter et à adopter de nouvelles technologies et méthodologies.
La gestion des règles de sécurité réseau prévoit les étapes nécessaires permettant de planifier et de faire évoluer la sécurité du réseau d’une entreprise au travers de règles de sécurité.
* Etude Mars 2018 Cato Networks: The Curse of Complexity Continues : https://www.catonetworks.com/blog/2018-networking-survey-the-curse-of-complexity-continues/
___________
Erwan Jouan est Directeur régional Europe de l’Ouest de Tufin