À l’heure où les infrastructures migrent massivement vers le cloud, la capacité à innover rapidement et avec agilité est devenue un véritable avantage concurrentiel. Les entreprises sont tenues, souvent sous pression, de livrer les applications plus rapidement, avec une sécurité renforcée et dans des environnements cloud toujours plus disséminés. Parallèlement, les équipes responsables de l’infrastructure et de la sécurité du cloud peinent à suivre le rythme de la diversité croissante des ressources déployées dans les environnements multicloud et de cloud hybride. Cette rapidité imposée au développement logiciel rime souvent avec complexité, risques de sécurité et surcharge opérationnelle.

Pour les adeptes du DevSecOps, la sécurité est parfois perçue comme un frein au développement, tandis que livrer trop vite peut ouvrir la porte à de nouvelles failles. Il est nécessaire de se tourner vers une plateforme unifiée qui offre une visibilité de bout en bout et facilite l’intégration à chaque étape du cycle de vie applicatif.
L’adoption des applications cloud natives doit être simple. Les trois stratégies présentées ci-dessous visent à simplifier le développement applicatif, à maîtriser les risques liés au cloud et à intégrer les meilleures pratiques de la sécurité du cloud et de DevSecOps dans chaque phase du pipeline applicatif.

1 – Une sécurité unifiée pour la totalité du stack des applications cloud native

La façon de créer et de produire les applications a fondamentalement muté. Les conteneurs, les microservices et les fonctions serverless ont pris le pas sur les applications monolithes. Ils sont tous connectés via des API et déployés de manière dynamique via des pipelines CI/CD. Cependant, chaque couche introduit de nouveaux risques, étend la surface d’attaque et entraîne de nouveaux défis opérationnels.

Gérer ces risques en faisant appel à des outils de sécurité distincts (un pour la sécurité des conteneurs, un autre pour la protection des API et un troisième pour la sécurité en environnement de production), donne lieu à des workflows fragmentés et à des zones d’ombre. Et lorsque les cycles de développement se mesurent en heures plutôt qu’en semaines, la sécurité doit suivre ce rythme sans entraver l’innovation.

C’est dans ce contexte qu’une plateforme unifiée s’avère indispensable. Une stratégie efficace de plateforme de protection unifiée des applications cloud native (CNAPP pour cloud-native application protection platform) regroupe des fonctionnalités auparavant cloisonnées, telles que la protection des instances cloud, le contrôle des entités d’infrastructure cloud (CIEM) et la sécurité des API, en une seule solution intégrée.

Avec une visibilité sur l’ensemble du stack applicatif, du code logiciel jusqu’au cloud, les équipes peuvent :

* Identifier et restaurer les vulnérabilités avant de déployer leurs applications
* Surveiller les activités en environnement de production pour déceler les comportements suspects
* Sécuriser les API et les flux de données sur l’ensemble des services
* Déployer une même politique de sécurité pour tous les environnements multi-cloud

2 – Automatiser la gestion de la posture de sécurité cloud (CSPM)

Les erreurs de configuration comptent parmi les principales causes des incidents de sécurité. Alors que les infrastructures cloud s’étendent rapidement, les vérifications manuelles de la configuration ne permettent pas de tenir ce rythme. Les équipes de sécurité doivent disposer d’une visibilité permanente sur les paramètres des ressources, les autorisations associées à chaque rôle, les accès au réseau et les statuts de conformité.

C’est pourquoi la gestion de la posture de sécurité cloud (CSPM) présente de solides atouts. Les solutions de CSPM surveillent les configurations sur l’ensemble des ressources cloud et mettent en œuvre automatiquement et en temps réel les meilleures pratiques. Pour autant, tous les outils CSPM ne sont pas aussi performants. Les meilleurs émettent des alertes, mais font plus encore en :

* Hiérarchisant les risques selon leur probabilité de donner lieu à un incident, leur criticité et le niveau de vulnérabilité
* Assurant un mapping des erreurs de configuration avec des normes de conformité comme les CIS Benchmarks, le NIST et PCI DSS
* Restaurant automatiquement les problématiques présentant un faible risque et accompagnent la prise en charge des incidents plus critiques.
* Permettant aux équipes SecOps de bénéficier d’alertes plus fiables et moins nombreuses.

3 – Positionner la sécurité plus en amont dans le workflow DevSecOps

DevSecOps est devenu un objectif essentiel pour les équipes de développement les plus performantes. La prise en compte de la sécurité dès les premières étapes de ce processus doit être menée avec soin. Les développeurs ne peuvent pas devenir des experts en sécurité du jour au lendemain, alors que les outils et processus de sécurité qui perturbent, voire interrompent le cycle de développement logiciel, sont souvent ignorés, si ce n’est supprimé.

Les frameworks DevSecOps pertinents intègrent la sécurité applicative dès les premières étapes du pipeline de développement, en faisant appel aux outils déjà utilisés par les développeurs. Pour être efficaces, les intégrations doivent être légères, intuitives et évolutives. Les processus DevSecOps performants :

* S’intègrent avec les environnements IDE, les référentiels Git et les outils du pipeline CI/CD
* Assurent un feedback immédiat sur les vulnérabilités, les erreurs de configuration et les problématiques de licences
* Fournissent des modèles et garde-fous Security-as-Code qui encouragent un processus sécurisé de conception dès le départ.
* Permettent aux développeurs d’être responsables de la sécurité de leurs applications sans pour autant ralentir la livraison des versions applicatives.

Lorsque la sécurité devient partie intégrante du processus de développement, les problématiques sont résolues plus rapidement, la disponibilité de nouvelles versions s’accélère, tandis que la posture de sécurité s’améliore.

Sécurité du cloud et simplification sont étroitement liées

Simplifier la conception des applications cloud ne se résume pas à un enjeu technique. C’est davantage une question de priorité stratégique. Chaque nouvel outil, tâche manuelle ou erreur de configuration constitue un vecteur de risque. Et en l’absence de convergence, de visibilité et d’automatisation, les risques peuvent proliférer rapidement.

Les entreprises qui réussissent leur migration vers le cloud et qui sécurisent leur transformation digitale sont celles qui :

* Décloisonne le développement, la sécurité et l’opérationnel
* Intègrent la sécurité dans la totalité du cycle applicatif, du codage à la mise en production dans le cloud
* Donnent la priorité à l’automatisation, la gestion de la posture et la convergence des fonctionnalités sur une plateforme
* Font appel à une plateforme unifiée de sécurité qui s’enrichit de fonctionnalités à l’intention des développeurs comme des équipes de sécurité.

La sécurité doit permettre l’innovation, et non l’entraver. En simplifiant la façon dont les applications sont sécurisées, gérées et surveillées, les entreprises accélèrent leur adoption du cloud, réduisent leurs coûts opérationnels et minimisent leurs risques, au sein d’un framework de sécurité unifié et étroitement intégré. La politique d’innovation reste ainsi dynamique sans laisser la sécurité de côté.
____________________________

Par Tarik Boumaza, Business Development Manager Cloud France chez Fortinet

 

À lire également :

Pour assurer la sécurité dans le cloud, les entreprises doivent miser tant sur l’humain que sur les outils…

6 enseignements clés sur la sécurité du cloud

Pourquoi la CDR axée sur l’identité est la clé de la sécurité du Cloud ?

Secure by Design : une priorité pour l’avenir…

Adoption du Zero Trust dans les administrations publiques