L’observabilité des risques business est essentielle pour faire face à l’augmentation des menaces qui pèsent de plus en plus sur la sécurité des applications.

Dans de nombreux départements informatiques, on constate que les équipes SecOps, DevOps et ITOPs fonctionnent en silo. Et lorsqu’il s’agit du développement d’applications, la sécurité n’est souvent introduite qu’à la dernière étape du développement, plutôt que d’être pensée dès le démarrage du cycle de vie de l’application.

Les problèmes liés à ce mode de fonctionnement cloisonné se révèlent au fur et à mesure que les entreprises se tournent les technologies cloud natives. Malheureusement, le passage à des applications modernes augmente considérablement le champ possible des attaques et les entreprises ne disposent généralement pas des bons outils, ni des connaissances suffisantes, ni des méthodes de travail adaptées pour lutter efficacement contre ces nouvelles menaces.

Pour y faire face, les départements informatiques doivent de toute urgence adopter une approche plus collaborative et proactive de la sécurité des applications, et intégrer la sécurité dès le début du cycle de vie de l’application. C’est le modèle DevSecOps. En parallèle, les équipes informatiques doivent s’équiper de nouveaux outils pour surveiller plus efficacement les applications modernes.

L’observabilité des risques business offre aux équipes informatiques une visibilité élargie sur les environnements cloud natives. Plus important, elle ajoute le contexte business aux informations relatives à la sécurité, ce qui permet aux équipes d’évaluer rapidement les risques et de prioriser les solutions en fonction de leurs impacts potentiels sur l’entreprise. À ce titre, l’observabilité des risques business est le seul moyen de réunir les équipes chargées des applications et celles de la sécurité pour sécuriser le développement et les déploiements d’applications modernes.

La montée des menaces dans les environnements ‘cloud native’

Dans presque tous les secteurs, les entreprises sont confrontées à une explosion des incidents de sécurité. Une étude de Red Hat a révélé que 93% des entreprises ont connu au moins un incident de sécurité dans leurs environnements Kubernetes au cours des 12 derniers mois et que pour 31% d’entre elles, il en a découlé une perte financière ou une perte de clients.

Cibler les clusters Kubernetes, dont un grand nombre n’est pas protégé, est désormais une pratique courante de la part des pirates informatiques. C’est d’autant plus inquiétant que ces clusters abritent souvent des ressources sensibles telles que  les données clients, des dossiers financiers, de la propriété intellectuelle ou des identifiants d’accès. La sécurité des applications devient donc une priorité pour les entreprises et une source de stress pour les responsables IT.

Malheureusement, plus les entreprises renforcent leur passage aux technologies cloud natives, plus ce défi deviendra difficile à relever. Si les entreprises veulent adopter une approche durable de l’innovation, elles doivent s’attaquer dès maintenant au défi de la sécurité des applications.

La sécurité des applications a trouvé ses limites

Dans de nombreuses entreprises, la sécurité des applications n’a pas suivi le même rythme que celui de l’innovation. Une étude récente de Cisco révèle que pour 92% des responsables IT dans le monde admettent que la course à l’innovation et la réponse à des besoins clients changeant en permanence s’est faite au détriment de la sécurité des applications.

Ceci a entraîné d’importantes lacunes en matière de visibilité sur les environnements Kubernetes. De plus, comme la plupart des équipes informatiques travaillent avec des outils d’analyse des failles qui ne génèrent  pas une vue d’ensemble de la sécurité, les responsables IT ne peuvent pas isoler les alertes de sécurité provenant de l’ensemble de leur stack applicatif pour en analyser rapidement le niveau de risque. En effet, la même étude de Cisco a révélé que 59% des responsables IT se sentent ainsi dépassés par le volume des menaces de sécurité dont fait l’objet  leur entreprise. Ils n’ont tout simplement pas les connaissances et les ressources nécessaires pour gérer efficacement la sécurité sur un paysage d’applications de plus en plus complexe.

Au-delà des outils et des technologies disponibles, il existe un autre problème plus fondamental qui entrave les efforts de sécurité dans de nombreux départements informatiques : les équipes ITOps et celles de sécurité fonctionnent de manière séparée. Dans de nombreux cas, elles ne collaborent que lorsqu’un problème est identifié, donc lorsqu’il est déjà trop tard. Elles sont donc prises au dépourvu, s’efforçant de détecter et de comprendre les failles, et ne disposant pas des processus nécessaires pour collaborer efficacement.

Les applications étant désormais la porte d’entrée de la quasi-totalité des entreprises et l’expérience numérique le fondement de la confiance et de la fidélité à la marque, tout incident de sécurité peut être catastrophique d’un point de vue économique.

L’observabilité des risques business pour rassembler les équipes IT

Pour s’attaquer au défi de la sécurité des applications, les équipes informatiques ont besoin d’une visibilité élargie sur les environnements Kubernetes. Les responsables IT doivent être en mesure de localiser et de mettre en évidence les problèmes de sécurité sur l’ensemble des entités applicatives (y compris les transactions business, les services, les workloads, les pods et les conteneurs). Corréler ces entités permet d’isoler rapidement les problèmes et d’appliquer des corrections, améliorant ainsi le temps moyen de détection (MTTD) et de remédiation (MTTR).

Mais le volume d’alertes provenant d’un paysage applicatif de plus en plus dynamique et dispersé est tel que ce type de visibilité unifiée ne suffit pas.

Les équipes informatiques ont également besoin de connaître le contexte business lié aux informations de sécurité, en combinant les données de performance et le contexte de l’impact sur le business avec la détection des failles et les informations de sécurité. Ce type d’observabilité des risques business permet aux équipes informatiques d’identifier facilement les transactions qui présentent le plus grand risque pour l’entreprise. Les responsables IT ont un accès immédiat à un score de risque business pour chaque vulnérabilité afin de hiérarchiser les problèmes qui pourraient causer le plus de dommages à l’entreprise – par exemple, ceux qui concernent des entités de l’application contenant des données sensibles des clients ou ceux liés aux transactions financières.

L’avantage majeur à long terme de l’observabilité des risques business est qu’elle permet de faire tomber les silos et de changer les mentalités au sein du département informatique. Elle réunit les équipes chargées des applications et celles en charge de la sécurité autour de données et d’informations fiables, et fournit aux entreprises une plateforme permettant d’adopter une approche intégrée de la sécurité tout au long du cycle de vie applicatif.

Les avantages d’une meilleure collaboration au sein du département informatique peuvent changer la donne pour les entreprises. Si les meilleurs éléments du service informatique se retrouvent réunis autour d’objectifs partagés, les entreprises pourront accélérer leur vitesse d’innovation et offrir des expériences applicatives toujours plus intuitives et transparentes à leurs utilisateurs.

En fin de compte, en mettant en œuvre l’observabilité des risques business et en adoptant une approche intégrée de la sécurité des applications, les services informatiques peuvent être plus proactifs en matière de sécurité des applications, en construisant et en maintenant des produits plus sûrs et en concentrant leurs compétences sur ce qui compte le plus pour les clients et l’entreprise.
___________________

Par Eric Salviac, Senior Business Value Consultant, Cisco Full-stack Observability

 

À lire également :

L’observabilité des applications, clé d’agilité et de résilience…

L’observabilité : outil essentiel pour un développement plus fiable et plus rapide

L’observabilité : Principal moteur de l’innovation

Valoriser le DataOps grâce à l’observabilité

Au-delà du monitoring, l’observabilité…