Cloud et Agilité : nouveaux défis pour la Cybersécurité

L’émergence du Cloud ainsi que la promotion des méthodologies agiles s’accompagnent d’une accélération du cycle de vie des applications. Cette démarche induit de nombreux changements techniques et organisationnels pour le Cloud au sein des entreprises, qui peuvent rendre obsolètes les modèles de sécurité traditionnels.

Onepoint identifie trois domaines majeurs qui doivent évoluer pour adresser cette nouvelle problématique inhérente au Cloud et à l’agilité : la gestion des accès utilisateurs, la sécurisation des échanges applicatifs et la gestion des secrets.

Agilité et DevOps : une décentralisation des responsabilités

L’adoption des méthodes agiles associées aux pratiques DevOps entraine des transformations organisationnelles au sein des systèmes d’information. Les responsabilités, historiquement réparties en silos, sont redistribuées. Le découpage par domaine d’exploitation (réseau, stockage, virtualisation, sécurité…) disparait, laissant place à une répartition des responsabilités par périmètre applicatif au sein des équipes projet.

 

Redistribution des responsabilités (Cliquez sur l’image pour agrandir)

Ce nouveau modèle organisationnel implique une plus grande autonomie des projets sur chacun de ces domaines, notamment la sécurité, à laquelle les équipes doivent désormais être davantage sensibilisées. L’apparition de ces nouvelles responsabilités entraine donc une décentralisation des compétences en cybersécurité. Il est tout de même nécessaire de conserver un centre d’expertise transverse en cybersécurité qui délègue une partie de ses responsabilités aux équipes projet. Celles-ci doivent respecter les mesures édictées par ce pôle d’expertise, qui dorénavant, doit privilégier le contrôle à la validation en amont.

Transformer ses outils : l’approche Cybersecurity as a Service

Pour que ce transfert de responsabilités vers les équipes projet soit mis en œuvre, l’adaptation des outils de sécurité pour cette nouvelle population d’utilisateurs est indispensable. En effet, les accès se multiplient, avec des populations toujours plus diverses et dont la préoccupation première n’est pas la sécurité. Une industrialisation des outils doit être mise en place, en automatisant au maximum l’implémentation des mesures de sécurisation et en appliquant une gestion fine des droits par périmètre applicatif. L’objectif étant de rendre les offres de sécurité disponibles en self-service et simples d’utilisation pour les projets.

Un concept important à prendre en compte ici est la  Multitenancy¹. Cette fonctionnalité offre la possibilité de gérer, au sein d’un même composant, plusieurs périmètres clients isolés les uns des autres. En effet, si tous les projets se retrouvent à accéder aux mêmes outils, un utilisateur doit pouvoir interagir uniquement sur les projets le concernant, et par extension ne surtout pas avoir accès aux autres.

Enfin toutes les actions doivent être tracées pour assurer un contrôle et une surveillance des systèmes par le service de cybersécurité.

De nouveaux patterns d’architecture… et des outils qui atteignent leurs limites

A l’instar des changements organisationnels, les Patterns d’architecture aussi se transforment, en adoptant des modèles plus flexibles. Les entreprises se tournent vers les technologies d’hébergement cloud de types Iaas/Paas/CaaS, que ce soit public ou privé.

Les dépenses mondiales des utilisateurs finaux de services de cloud public devraient augmenter de 18,4 % en 2021 pour atteindre 304,9 milliards de dollars, contre 257,5 milliards de dollars en 2020, selon Gartner, Inc.²

L’hybridation des SI ainsi que le multicloud sont au cœur des préoccupations actuelles (lire à ce propos Multicloud, la stratégie de la liberté).

De ces nouvelles pratiques découlent des changements techniques sur les stacks habituellement porteuses de l’isolation des systèmes, que ce soit au niveau du réseau (IP mutualisées, IP variables), des ressources (démultiplication des services, cycles de vie courts), de l’authentification (gestions dynamiques des certificats, décentralisation des Identity Providers) etc… Changements techniques qui s’accompagnent également d’une décentralisation des mesures de sécurité, déportées au plus près des ressources (zero-trust, micro-segmentation…)

Autant de transformations qui rendent inopérants certains outils historiquement responsables de la cybersécurité dans le système d’information. Les pare-feux ne peuvent plus couvrir tous les besoins de filtrage, les PKI ne sont pas assez agiles, les solutions d’authentification trop centralisées.

Trois approches de la cybersécurité à repenser selon Onepoint

Si les changements techniques et organisationnels, induits par les nouvelles pratiques liées à l’agilité et au Cloud, demandent à repenser la sécurité sur de nombreux aspects, en voici trois qui sont prépondérants selon Nexworld :

 

  • La gestion des accès utilisateurs : Comment assurer le contrôle d’accès des utilisateurs de populations diverses et dont les identités sont stockées dans des annuaires multiples ? Nexworld propose de se tourner vers des solutions de fédération s’appuyant sur des fournisseurs d’identités multiples et à l’état de l’art des protocoles d’authentification.
  • La sécurisation des échanges A2A : Comment sécuriser les échanges entre des ressources hébergées sur des hôtes différents (VM, conteneur), sur des Datacenters différents (On-Premise, Clouds publics ou privés), avec des IP volantes et au nombre en constante croissance ? Une transition est nécessaire vers des architectures de type service mesh² visant à garantir l’intégrité des échanges point à point indépendamment des types d’hébergements et des zones de confiance.
  • La gestion des secrets : Comment assurer une gestion sécurisée des secrets dans un contexte DevOps de décentralisation des responsabilités, entrainant des accès bien plus larges aux différents outils ? Les coffres-forts numériques, au sein de nos systèmes d’information, doivent eux aussi évoluer vers une approche industrialisée dans le provisionnement et le déploiement des secrets d’infrastructure.

Ces transformations du système d’information s’accompagnent donc par une adaptation des outils et des pratiques de sécurité.
Pour répondre à ces challenges, Nexworld réalise des comparaisons d’outils et définit des patterns d’intégration à l’état de l’art. Pour cela, il est nécessaire de s’appuyer sur des solutions innovantes apportant le bon niveau de sécurité tout en garantissant le self-service, la Multitenancy ainsi que l’interopérabilité avec les nouvelles architectures Cloud.

Références

1. Selon Gartner, Le Multitenancy (en français : multilocation) est une référence au mode de fonctionnement d’un logiciel dans lequel plusieurs instances indépendantes d’une ou plusieurs applications fonctionnent dans un environnement partagé.

2. Gartner Forecasts Worldwide Public Cloud End-User Spending to Grow 18% in 2021 – Lire l’article

3. Pour en savoir plus sur les services mesh, téléchargez notre livre blanc : Les Services Mesh, pour une intégration optimale des Microservices.

Auteur : Sylvain Mazard

Architecte SI