La sécurité des entreprises, un enjeu important à prendre très au sérieux
Dans un billet de blog, Gerald Delplace responsable commercial de Imperva déclarait : « Faire de la sécurité la responsabilité de chacun au sein des entreprises peut permettre à l’avenir d’atténuer et d’arrêter les violations de données. Les entreprises s’attaquent à ce problème notamment par le biais de centres d’excellence Cloud/API. Ces « groupes de réflexion » au sein des organisations sont constitués d’un groupe interfonctionnel de personnes qui développent des modèles et des tendances pour intégrer la sécurité dans le cycle de vie du développement logiciel. ».
Cet article va aussi vous intéresser : Cybersécurité des entreprises : les points clés sur lesquels les entreprises doivent s’accentuer
Cette appréhension est de bonne guerre surtout, quand on sait que les enjeux liés à la sécurité informatique impliquent un véritable engagement de tous les acteurs.
Selon une étude réalisée par le cabinet Gartner, 40 % des conseils d’administration d’ici 2025 ont l’intention d’intégrer un comité spécialement chargé des questions relatives aux questions de sécurité. Ce comité sera essentiellement dirigé par des membres qui ont une certaine connaissance dans le domaine de la sécurité informatique. Aujourd’hui on observe une tendance à 10 %.
Cependant, essayons de faire une autre approche, de l’informatique au regard de l’explosion de la cybercriminalité. Si le concept actuel est le basculement vers le cloud, il n’en demeure pas moins que le risque soit moins important. On peut juste mettre en évidence une réalité que tout le monde sait déjà. Une augmentation de la cyber malveillance.
« Alors que les entreprises adoptent l’innovation sans serveur, l’informatique a aveuglément adopté cette innovation du cloud sans impliquer ses pairs en matière de sécurité. Il faut s’attendre à une augmentation des cyber-attaques dans cet espace (telles que les attaques DDoS) visant les environnements informatiques sans serveur. », note Gerald Delplace.
« L’architecture sans serveur est très difficile à protéger pour les entreprises. Sa nature distribuée – essentiellement, la raison de sa flexibilité et de son évolutivité – signifie que les produits de protection traditionnels ne fonctionnent tout simplement pas. Les applications sont passées du statut de fonctions partageant le même espace mémoire à celui de fonctions faiblement couplées et pilotées par les événements. La sécurisation de ces fonctions devrait désormais être prioritaire par rapport à la sécurisation des applications. ».
Avec la pression qui est sous les épaules des développeurs, le développement des applications à un rythme très effréné ne répond pas aux exigences de sécurité tu s’impose notamment dans ce genre de contexte. Cela affecte donc d’une certaine manière le fameux concept de l’informatique sans serveur.
« Les développeurs étant soumis à une pression croissante pour déployer davantage d’applications, à un rythme toujours plus rapide, il n’est pas étonnant que l’informatique sans serveur devienne rapidement la principale infrastructure dans l’espace de l’architecture logicielle. Mais les entreprises doivent l’aborder de façon constructive. Le code et les fonctions peuvent être vulnérables et ouvertes à l’exploitation, mettant l’intégrité des applications d’une organisation – sans parler de sa réputation – en danger. Il est essentiel que les développeurs comprennent que les équipes de sécurité ont besoin de visibilité – sur chaque fonction, et avec chaque fournisseur. Sans cela, l’informatique sans serveur deviendra rapidement un terrain de jeu pour les cybercriminels. », détaille notre expert.
En outre, la cybersécurité exige la mise en place de plusieurs micro-services dédiés typiquement à la protection des données et les infrastructures.
« À mesure que le monde continue de travailler, d’acheter et d’interagir en ligne, la pile informatique traditionnelle va se décomposer, et le développement et le déploiement d’API et de micro-services vont eux aussi se développer pour fournir de meilleurs services plus rapides. Cette évolution s’accompagnera d’une augmentation des fuites et des exfiltrations de données via des API non sécurisées. », note le spécialiste.
Lorsque les entreprises décident d’adopter certains outils, elles doivent donc déployer leur environnement où les publications sont les plus rapides possible dans les mises à jour et le déploiement de nouvelles fonctionnalités de leurs applications.
« Un autre facteur est que la technologie sans serveur pour les micro-services peut décomposer une application en petites fonctions, et ces fonctions peuvent vivre n’importe où. Pour sécuriser ces environnements, il faut penser à la manière dont les micro-services interagissent. Historiquement, les équipes de sécurité plaçaient la sécurité à l’entrée d’un réseau. Aujourd’hui, elles doivent penser à la communication inter-réseaux entre ces différents micro-services. Il n’y a plus de point d’entrée unique sur le réseau, et un problème courant consiste à contrôler les interactions entre les utilisateurs et les réseaux. », explique Gerald Delplace.
Accédez maintenant à un nombre illimité de mot de passe :