Cybersécurité : comment s’adapter aux transformations liées au Cloud et à l’agilité ?

La redistribution des responsabilités liée au modèle DevOps, ainsi que les tendances d’hébergement évoluant vers le cloud, induisent de nombreux changements techniques et organisationnels au sein des entreprises, qui peuvent rendre obsolètes les modèles de sécurité traditionnels. Nexworld identifie trois domaines majeurs qui adressent cette nouvelle problématique : la gestion des accès utilisateurs, la sécurisation des échanges A2A et la gestion des secrets.

DevOps : une décentralisation des responsabilités

L’adoption des méthodes agiles entraine des transformations organisationnelles au sein des systèmes d’information. Les responsabilités, historiquement réparties en silos, sont redistribuées suivant un modèle DevOps. Il n’y a plus un découpage par domaine d’exploitation (réseau, stockage, virtualisation, sécurité…) mais une redistribution des responsabilités par périmètre applicatif au sein des équipes DevOps.

Gestion des secrets & Agilité (Cliquez sur l’image pour agrandir)

Cela implique une plus grande autonomie des projets sur chacun de ces domaines,  notamment pour la sécurité, à laquelle les équipes doivent désormais être sensibilisées. L’apparition de ces nouvelles responsabilités entraine une décentralisation des compétences en cybersécurité. Bien sûr, il est nécessaire de conserver un service d’expertise transverse en cybersécurité mais celui-ci délègue une partie de son périmètre historique. Il édicte toujours les mesures à implémenter par les équipes projets mais doit dorénavant privilégier le contrôle à la validation en amont.

Transformer ses outils : l’approche Cybersecurity as a Service

Pour que ce transfert de responsabilités vers les équipes projet soit mis en œuvre, il est nécessaire d’adapter les outils de sécurité à cette nouvelle population d’utilisateurs. En effet, les accès se multiplient, avec des populations plus diverses et dont l’expertise première n’est pas la sécurité. Il faut alors mettre en place une industrialisation des outils, en automatisant au maximum l’implémentation des mesures de sécurisation et en appliquant une gestion fine des droits par périmètre applicatif.

Concernant la gestion fine des droits, un concept important à prendre en compte ici est la Multitenancy¹, c’est-à-dire l’isolation au sein d’un même composant de plusieurs périmètres clients isolés les uns des autres. En effet, si tous les projets se retrouvent à accéder aux mêmes outils, il n’est pas question qu’un DevOps puisse interagir sur un projet qui n’est pas le sien.

Les interfaces doivent également être disponibles en self-service et simples d’utilisation pour les projets. Enfin toutes les actions doivent être tracées pour assurer un contrôle et une surveillance des systèmes.

De nouveaux patterns d’architecture… et des outils qui atteignent leurs limites

A l’instar des changements organisationnels, les Patterns d’architecture aussi se transforment, en adoptant des modèles plus flexibles. Les entreprises se tournent vers les technologies d’hébergement cloud de types Iaas/Paas/CaaS, que ce soit public ou privé.

Les dépenses mondiales des utilisateurs finaux de services de cloud public devraient augmenter de 18,4 % en 2021 pour atteindre 304,9 milliards de dollars, contre 257,5 milliards de dollars en 2020, selon Gartner, Inc.²

L’hybridation des SI ainsi que le multicloud sont au cœur des préoccupations actuelles (lire à ce propos Multicloud, la stratégie de la liberté).

De ces nouvelles pratiques découlent des changements techniques sur les stacks habituellement porteuses de l’isolation des systèmes, que ce soit au niveau du réseau (IP mutualisées, IP variables), des ressources (démultiplication des services, cycles de vie courts), de l’authentification (gestions dynamiques des certificats, décentralisation des Identity Providers) etc… Changements techniques qui s’accompagnent également d’une décentralisation des mesures de sécurité, déportées au plus près des ressources (zero-trust, micro-segmentation…)

Autant de changements techniques qui rendent inopérants certains outils historiquement responsables de la cybersécurité dans le système d’information. Les firewalls ne peuvent plus couvrir tous les besoins de filtrage, les PKI ne sont pas assez agiles, les solutions d’authentification trop centralisées.

Trois approches de la cybersécurité à repenser selon Nexworld

Si les changements techniques et organisationnels, induits par les nouvelles pratiques liées à l’agilité et au Cloud, demandent à repenser la sécurité sur de nombreux aspects, en voici trois qui sont prépondérants selon Nexworld :

 

  • La gestion des accès utilisateurs : Comment assurer le contrôle d’accès des utilisateurs de populations diverses et dont les identités sont stockées dans des annuaires multiples ? Nexworld propose de se tourner vers des solutions de fédération s’appuyant sur des fournisseurs d’identités multiples et à l’état de l’art des protocoles d’authentification.
  • La sécurisation des échanges A2A : Comment sécuriser les échanges entre des ressources hébergées sur des hôtes différents (VM, conteneur), sur des Datacenters différents (On-Premise, Clouds publics ou privés), avec des IP volantes et au nombre en constante croissance ? Une transition est nécessaire vers des architectures de type service mesh² visant à garantir l’intégrité des échanges point à point indépendamment des types d’hébergements et des zones de confiance.
  • La gestion des secrets : Comment assurer une gestion sécurisée des secrets dans un contexte DevOps de décentralisation des responsabilités, entrainant des accès bien plus larges aux différents outils ? Les coffres-forts numériques, au sein de nos systèmes d’information, doivent eux aussi évoluer vers une approche industrialisée dans le provisionnement et le déploiement des secrets d’infrastructure.

Ces transformations du système d’information s’accompagnent donc par une adaptation des outils et des pratiques de sécurité.
Pour répondre à ces challenges, Nexworld réalise des comparaisons d’outils et définit des patterns d’intégration à l’état de l’art. Pour cela, il est nécessaire de s’appuyer sur des solutions innovantes apportant le bon niveau de sécurité tout en garantissant le self-service, la Multitenancy ainsi que l’interopérabilité avec les nouvelles architectures Cloud.

Références

1. Selon Gartner, Le Multitenancy (en français : multilocation) est une référence au mode de fonctionnement d’un logiciel dans lequel plusieurs instances indépendantes d’une ou plusieurs applications fonctionnent dans un environnement partagé. 

2. Gartner Forecasts Worldwide Public Cloud End-User Spending to Grow 18% in 2021 – Lire l’article

3. Pour en savoir plus sur les services mesh, téléchargez notre livre blanc : Les Services Mesh, pour une intégration optimale des Microservices.

Sylvain MAZARD

Sylvain MAZARD

Consultant

DÉCOUVREZ COMMENT NOTRE CABINET ACCOMPAGNERA LA TRANSFORMATION DE VOTRE ENTREPRISE

Les consultants Nexworld mettent leur expertise au service des entreprises qui souhaitent accélérer leur transformation numérique. Nexworld propose des séminaires adaptés à vos besoins de transformation.

Bien s’armer pour gérer son approche Multicloud

Bien s’armer pour gérer son approche Multicloud

Alors que les entreprises engagent de plus en plus leur présence sur le Cloud, chaque fournisseur Cloud dispose de services, offres, règles et supports proposant des valeurs différenciantes aux entreprises. Dans un environnement multicloud, l’objectif est de tirer parti de ce mélange pour améliorer performances, coûts et sécurité du SI.

Les microservices, c’est quoi ?

Les microservices, c’est quoi ?

Évolution naturelle des Architectures orientées services (SOA) à la suite des évolutions technologiques et méthodologiques de ces dernières années, les microservices tendent à devenir la norme de développement pour un large spectre du Système d’Information. Cet article vise à synthétiser les concepts sous-tendus par cette Architecture et à donner des pistes de mise en œuvre.