L’orchestration des tâches de sécurité répétitives, comme le passage de règles firewall, permet de dégager un temps considérable aux ingénieurs afin qu’ils puissent se concentrer sur des tâches à plus fortes valeurs ajoutées. L’orchestration des processus ainsi que l’automatisation ont également pour avantages de réduire les erreurs humaines et de permettre la traçabilité des flux pour un contrôle maximal de la sécurité au sein de l’entreprise, ou encore de minimiser les perturbations d’activité, ou réduire ses coûts d’exploitation sur la durée. Autant d’avantages que les entreprises devraient saisir à l’avenir.

Ces dernières années la gestion de la connectivité des réseaux est devenue une tâche très complexe pour les équipes informatiques. Ces difficultés sont récurrentes au sein des entreprises :

  • Le nombre d’équipements ne cesse d’augmenter
  • Les infrastructures sont de plus en plus hétérogènes
  • Les équipes et les budgets informatiques n’augmentent pas
  • Les équipes métiers et IT parlent rarement le même langage
  • Le nombre de modifications de réseau et de sécurité augmente continuellement

Les entreprises, de plus en plus intéressées par l’orchestration

Le Time-To-Market demandé par les métiers est de plus en plus court et associé à une réduction des coûts. L’orchestration est donc devenue un sujet très souvent en étude au sein des entreprises.

Pour rappel l’orchestration vise à automatiser les processus récurrents qui permettent la mise en œuvre de réseaux flexibles tout en réduisant le risque d’erreurs humaines.

Les besoins de connectivité des applications et des réseaux sont à l’origine de la majorité des modifications des réseaux. En raison de la complexité des réseaux d’entreprise actuels, toute modification constitue un risque potentiel pour la sécurité et la continuité des activités.

La plupart des réglementations comme Bâle 3, Sarbanes-Oxley, PCI-DSS, édictent entre autres que :

  • La connectivité réseau doit être justifiée et documentée
  • L’ensemble des modifications de la sécurité du réseau doit pouvoir être auditéet justifié.

Ces contraintes sont difficiles à mettre en œuvre sans la mise en place d’un outil permettant au minimum de tracer les changements.

Quelques constats observés dans les entreprises :

  • L’étude, l’analyse jusqu’à l’intégration et l’audit d’un changement nécessitent un temps et des ressources considérables à tel point qu’il devient très difficile de délivrer correctement un service garantissant une bonne sécurité. Dans certaines entreprises, les équipes passent plus de 50% du temps sur des changements simples mais chronophages.
  • Dans la plupart des entreprises, la priorité est donnée aux métiers. Le respect du Time-To-Market prend la priorité sur la sécurité du SI.
  • Le temps perdu est aussi dû à l’absence d’outils de communication efficaces. Les moyens généralement en place sont des emails et des fichiers éclatés (Word, Excel, etc.) sans interaction ou vérification entre les fichiers et les acteurs d’une demande de changement.

La solution est donc d’intégrer la gestion des modifications de la sécurité des réseaux aux processus d’automatisation informatique de l’entreprise.

Le workflow lié aux changements des politiques de firewalls doit donc être adapté en automatisant les processus nécessitant un travail humain important afin de délivrer correctement et dans les temps un service au métier tout en respectant les normes et la sécurité du système d’information.

Les services informatiques ont donc besoin de :

  • Simplifier et automatiser des changements dans un environnement hétérogène
  • Obtenir une meilleure visibilité des règles en obtenant une vue par application et non plus réseau ou services
  • Pouvoir dé-commissionner des règles facilement associées à une application sans impacter d’autres applications
  • Tracer les changements afin d’être plus rapide en cas d’incident et conforme aux réglementations
  • Réduire le nombre d’incidents liés à des erreurs humaines de configuration en standardisant les changements

L’orchestration apporte énormément de points positifs avec la diminution du temps de travail humain, la traçabilité des flux, la diminution des erreurs humaines et donc des impacts sur la sécurité du système d’information.

Quelles sont les tâches automatisables qui nécessitent beaucoup de temps et de ressources humaines ?

  • L’identification et l’écriture des flux à ouvrir et la vérification des flux existants
  • L’analyse du changement en fonction de la PSSI (Politique de Sécurité du Système d’Information)
  • L’intégration du changement sur les firewalls
  • La vérification de l’adéquation entre le changement réalisé et la demande initiale
  • L’audit des flux

Un workflow nécessite un travail conséquent de préparation en amont. L’ensemble des acteurs du SI doivent être impliqués dans la réflexion du workflow afin que chaque acteur, du demandeur à l’auditeur, puisse obtenir une réelle plus-value.

En fonction du nombre d’équipements, de la complexité de la politique de sécurité, des normes d’audit, etc. le temps d’intégration d’une solution d’automatisation des changements prendra entre 1 et 3 mois pour qu’elle soit complètement fonctionnelle. Mais ce temps d’intégration sera très vite compensé lorsque la solution sera utilisée dans la mesure où le temps humain d’un changement sur les équipements pourra être diminué de 50 à 80%.

De plus la disponibilité des applications sera nettement améliorée.

Il est à noter également qu’il restera difficile de tracer et restructurer les configurations existantes et que le gain se fera principalement sur les modifications réalisées avec le nouveau workflow.

Les solutions d’orchestration peuvent avoir un coût non négligeable, mais il est important de souligner que l’automatisation de tâches manuelles, répétitives et sources d’erreurs, permet non seulement de diminuer fortement le temps du workflow, mais aussi de dégager un temps considérable aux ingénieurs afin qu’ils puissent se concentrer sur des tâches à plus fortes valeurs ajoutées.

Voici quelques exemples de résultats chiffrés observés en entreprise grâce à l’orchestration :

  • Réduction de plusieurs semaines à 3 heures le provisionning d’un environnement ou d’un service
  • Réduire les erreurs humaines de plus de 50%
  • Réduction du temps d’exécution des tâches et processus de plus de 50%
  • Automatisation de près de 80% des fiches de consignes
  • Les premiers retours sur investissement observés en moins de 6 mois.

L’orchestration et l’automatisation permettent donc de réduire les coûts d’exploitation tout en offrant une meilleure qualité de service. Le retour sur investissement constaté est entre 6 mois et 2 ans.

L’orchestration permet de rationaliser les changements sur les équipements de sécurité pour minimiser la perturbation des activités et garantir un contrôle maximal de la sécurité. Les solutions d’orchestration accélèrent et simplifient toutes les étapes du projet : planification, migration, validation et maintenance.

 

__________
Guillaume Patry est Ingénieur sécurité chez Nomios