Dans un monde où il n’y a pas de réseau local ou de « derrière le pare-feu », où l’adoption du cloud s’accélère et où les applications sont constituées d’une multitude d’API et de microservices, il est l’heure de repenser les pratiques de cybersécurité pour ne plus accorder la moindre confiance par défaut… de faire entrer la cybersécurité dans l’ère du Zero Trust.

De la communication à l’éducation, en passant par le commerce et les soins de santé, chaque organisation, institution, agence et société opère une transformation numérique, et cette transformation a été accélérée par la Covid-19. Puisqu’ils répondent à la demande croissante en connectivité, les logiciels sont devenus l’épine dorsale de l’entreprise contemporaine. Mais également l’une de leurs plus grandes sources de risque.

L’adoption des technologies du cloud entraînera un modèle de responsabilité partagée dans lequel les entreprises se concentreront davantage sur la sécurité des applications, tandis que le fournisseur de cloud se concentrera sur l’infrastructure et la sécurité physique. À mesure que les charges de travail se déplacent vers le cloud, certains composants OpSec gagneront en importance. Les contrôles de sécurité doivent tenir compte de la structure des applications, ce que les approches traditionnelles (par exemple, le pare-feu du réseau) ne permettent pas.

En outre, il ne fait aucun doute que les fournisseurs de sécurité seront de plus en plus sollicités pour prendre en charge un large éventail d’environnements, notamment mobiles et IoT. L’explosion des API, qui permettent de transmettre facilement des données d’un produit ou d’un service à un autre et rendant ainsi les informations disponibles sur de nombreux systèmes, signifie également qu’une sécurité forte devient rapidement un prérequis de premier ordre pour les entreprises.

Zero Trust : La confiance ne sera pas établie par défaut

Dans un monde où il n’y a pas de réseau local ou de « derrière le pare-feu », chaque interaction devrait commencer par l’hypothèse de la « confiance zéro » jusqu’à ce que ladite confiance soit formellement établie. La confiance ne devrait donc jamais être la valeur par défaut. Avec le temps, l’omniprésence de la connectivité – et donc du risque – conduira à des modèles de sécurité de « confiance zéro » (Zero Trust), c’est-à-dire que les réseaux, services ou dispositifs seront ancrés dans le principe « ne jamais faire confiance, toujours vérifier ». Chacun d’entre eux devra être validé indépendamment, puis validé à nouveau en tant que groupe. De plus en plus, toutes les mesures d’atténuation doivent être suivies et appliquées, ce qui signifie que les révisions de l’architecture et la modélisation des menaces deviendront plus critiques.

À mesure que les grandes applications monolithiques sont divisées en micro services et déplacées vers le cloud, les hypothèses de confiance zéro doivent s’étendre à tout le code tiers. Cela inclut les bibliothèques et composants open source ou commerciaux, le développement externalisé, les API externes, et même ses propres microservices, à moins qu’ils ne soient enfermés derrière un pare-feu sur un réseau privé virtuel (VPN).

Une surface d’attaque croissante

À mesure que les applications d’entreprise sont divisées en parties toujours plus petites sont combinées avec du code open source et font appel à des API externes, la surface d’attaque augmente considérablement, de même que le nombre de composants internes et externes. L’hypothèse d’un modèle de « confiance zéro / zero trust » pour chaque unité atomique est ainsi la plus sûre dans un monde complexe, même si certaines connexions pourraient théoriquement être fiables à ce moment-là.

Les entreprises voudront profiter des avantages des technologies de cloud computing natives en raison des économies de coûts et de la rapidité de la création de valeur. Par conséquent, les équipes de sécurité devront équilibrer les charges de travail pour gérer la vitesse à laquelle l’entreprise évolue et s’assurer qu’elles ne sont pas dépassées. Le développement se devra d’accélérer de son côté la création de valeur pour l’entreprise en exploitant les services externes via les API et les bibliothèques open source.

Que signifie le Zero Trust pour le marché de l’AppSec

Le modèle de sécurité de « confiance zéro » ou « zero trust » entraînera les deux principaux changements qui affecteront le marché de la sécurité des applications au cours des prochaines années.

Premièrement, les équipes de développement ne pourront plus décréter que les logiciels qu’elles créent sont « sécurisés dès la conception » (secured by design) parce que les entrées de tiers dans ces applications ne peuvent pas être intrinsèquement fiables. Une méthode permettant d’isoler chaque composant, jusqu’à ce que la confiance puisse être validée et établie, est ainsi nécessaire.

Deuxièmement, si l’analyse des bibliothèques open source est déjà couverte par l’analyse de la composition des logiciels, la sécurité des services externes, elle, n’a pas encore été étudiée. Cela implique non seulement l’analyse des API externes, mais aussi la compréhension de la posture de sécurité de l’ensemble du système et de l’entreprise, y compris les programmes de réponse aux incidents, l’architecture de la solution et la modélisation des menaces.

Le modèle Zero Trust est donc une approche de la cybersécurité qui s’inscrit en rupture des pratiques antérieures, puisqu’il oblige à remettre en question les certitudes de chacun quant à la bonne conception des applications et de leur code en amont du cycle vie. Cette méthode vient ainsi consolider les fondements de la sécurité applicative et responsabiliser d’autant plus les équipes de développement, à l’heure où les risques de failles n’ont jamais été aussi élevés qu’aujourd’hui.
___________________

Par Nabil Bousselham, architecte de solutions informatiques, Veracode

A lire également:

Pourquoi les logiciels open source sont des bombes à retardement – et que faire pour y remédier ?

Sécurité des applications : l’importance du lieu de résidence des données dans l’UE

Le retour d’information instantané, la clé de voûte pour une équipe de développement agile.