Par Ben Todd, Senior Director Security, EMEA de Dynatrace
L’année passée, les initiatives de transformation digitale se sont démultipliées, reflétant la volonté de nombreuses organisations d’accélérer la livraison de leurs roadmaps technologiques pluriannuelles. Selon McKinsey, nous avons maintenant dépassé un point critique susceptible de transformer les opérations business de manière inéluctable. L’utilisation des environnements multicloud et des architectures cloud natives basées sur des microservices, des conteneurs et Kubernetes, est au cœur de cette transformation. Si ces approches aident incontestablement les équipes DevOps à gagner en agilité digitale et à accélérer leur time-to-market, elles ont aussi introduit de nouveaux défis en matière de sécurité des applications, qui représentent un véritable risque.
Une vision embrumée
Les plateformes cloud constituent la charpente sur laquelle les organisations bâtissent leurs initiatives de transformation digitale basée sur le DevOps. Ces environnements contribuent à réduire les coûts et à améliorer la flexibilité IT, tout en permettant aux organisations de s’adapter rapidement à l’évolution des demandes du marché. A mesure que la nécessité d’accélérer l’innovation s’accroît, tous secteurs confondus, les organisations investissent de plus en plus dans les architectures cloud natives. Gartner prédit ainsi que, d’ici 2022, les trois-quarts des organisations mondiales auront des applications conteneurisées en production – contre moins de 30% en 2020.
Les conteneurs et les microservices décomposent les fonctionnalités applicatives en éléments plus faciles à gérer, créer, tester, et déployer, ce qui aide les équipes à innover plus rapidement. Les architectures cloud natives offrent également aux organisations la flexibilité de déplacer les workloads d’une plateforme à une autre, afin de s’assurer que leur environnement est toujours optimisé pour répondre à leurs besoins, à tout moment. Mais cette ère du cloud plus dynamique comporte aussi son lot de défis. Les équipes DevOps n’ont pas forcément les outils ni les ressources nécessaires pour gérer cette couche supplémentaire de complexité, et identifier les vulnérabilités dans leur code avant qu’elles ne deviennent un véritable risque.
Ce défi revêt un caractère particulier compte tenu de l’utilisation généralisée des librairies open-source. Ces librairies aident à accélérer le time-to-market en évitant aux équipes DevOps d’avoir à écrire chaque ligne de code en partant de zéro. Mais elles comportent également un nombre incalculable de vulnérabilités qui doivent être continuellement identifiées et éradiquées. Ce qui est loin d’être simple dans un environnement cloud où le changement est la seule constante.
Les applications traditionnelles de sécurité créent des angles morts
Notre récente étude (https://bit.ly/3zhxfDX) a révélé des inquiétudes supplémentaires. Par exemple, pour 89% des responsables de la sécurité SI (RSSI), les microservices, les conteneurs, Kubernetes et les environnements multicloud ont créé des angles morts, en rendant impossible pour leurs solutions traditionnelles de sécurité des applications de voir ce qu’il s’y passe. Ces outils legacy ont été conçus pour une autre époque, caractérisée par des infrastructures statiques et des applications monolithiques. Dans ces environnements, un seul scan mensuel suffisait pour identifier la plupart des vulnérabilités avant qu’elles puissent être exploitées. Aujourd’hui, la durée de vie d’un conteneur se mesure en heures et en jours. Ces mêmes outils ne peuvent donc tout simplement pas suivre un tel rythme d’évolution. Ils ne peuvent généralement pas non plus voir ce qu’il se passe dans les applications conteneurisées, ni identifier les défauts dans leur code. Par conséquent, même les vulnérabilités les mieux documentées, comme le défaut dans la librairie Apache Struts qui avait provoqué le piratage d’Equifax en 2017, peuvent échapper aux radars pendant des mois, voire des années.
En parallèle, 85% des responsables de la sécurité interrogés déclarent vouloir que les équipes DevOps et celles en charge des applications, prennent une responsabilité plus directe dans la gestion des vulnérabilités. Il n’y a rien de mal à cela – au contraire, beaucoup considèrent que confier la sécurité au DevSecOps constitue la façon la plus efficace et la plus rentable de réduire les risques. Mais les outils et les processus existants ne le leur permettent pas. Les équipes n’ont ni le temps de faire des scans manuels, ni les compétences nécessaires pour assumer les responsabilités de la sécurité, ni la capacité de détecter les vulnérabilités suffisamment rapidement. Certaines équipes DevOps vont même jusqu’à contourner les contrôles de sécurité, tandis que d’autres refusent tout bonnement de travailler avec les équipes en charge de la sécurité, par crainte que cela ne ralentisse leur time-to-market.
En conséquence de quoi, de plus en plus de vulnérabilités passent entre les mailles du filet de la sécurité, et se faufilent droit dans les environnements de production. Pas moins de 71% des RSSI interrogés dans cette étude admettent ainsi qu’ils ne sont pas totalement sûrs que le code soit exempt de vulnérabilités avant qu’il soit poussé en production.
Des approches obsolètes
Ces résultats mettent en évidence le fait que les approches traditionnelles en matière de sécurité et les évaluations manuelles d’impact ne sont plus adaptées aux environnements cloud dynamiques. Il est crucial aujourd’hui d’avoir des données en temps réel, dans un contexte où des conteneurs peuvent être démarrés puis arrêtés en l’espace de quelques secondes, et où les dépendances entre les microservices prennent la forme d’un flux continu lorsqu’elles passent d’une plateforme cloud à une autre. Les scanners de vulnérabilités d’autrefois n’offrent qu’une vision statique d’un instant T, et ne permettent généralement pas de faire la différence entre un risque potentiel et une exposition avérée. Ce qui peut entraîner un déferlement de milliers d’alertes de vulnérabilités chaque mois – dont la plupart sont des faux-positifs – sous lesquelles croulent les équipes en charge de la sécurité des applications et DevOps.
Ce n’est donc pas surprenant que près des trois-quarts (74%) des RSSI considèrent que les outils de scan de vulnérabilités ne sont pas efficaces. Non seulement ces outils legacy ne sont pas capables de suivre le rythme d’évolution des environnements conteneurisés, mais en plus ils ralentissent la transition vers le DevSecOps en ne se focalisant que sur une seule étape du cycle de vie logiciel. A défaut de fournir du contexte, ils rendent plus difficile pour les équipes de déterminer et d’appliquer les bons patches, et les empêchent de trouver les vulnérabilités suffisamment rapidement pour réduire les risques une fois que le code est déployé. Combinez le volume de faux positifs et d’alertes avec le manque de contexte des outils legacy, et vous obtenez des centaines d’heures perdues et un risque accru en matière de sécurité des applications.
L’avenir appartient à l’automatisation
Pour surmonter ces défis et supprimer le fardeau manuel qui pèse sur leurs équipes, les organisations doivent être capables d’identifier automatiquement les failles de sécurité potentielles dans leurs applications. Et ce n’est possible qu’en automatisant les tests pendant le runtime, sans que cela requière des opérations de configuration ou des efforts supplémentaires de la part des équipes DevOps.
En combinant les données de vulnérabilités avec la connaissances des environnements de runtime – comme le fait de savoir si le code en question est exposé à Internet – les équipes DevSecOps peuvent obtenir tout le contexte dont elles ont besoin pour comprendre la cause, la nature et l’impact du problème en temps réel. Ce faisant, elles peuvent efficacement réduire les risques et aligner leur rythme d’innovation à l’accélération du business. En effet, pour plus des trois-quarts (77%) des RSSI, la seule façon de maintenir la sécurité dans les environnements applicatifs cloud est de remplacer les déploiements, les configurations et la gestion manuels, par cette approche plus automatisée. Cela s’avèrera crucial non seulement pour protéger les organisations contre les menaces auxquelles elles sont confrontées dans le monde cloud d’aujourd’hui, mais aussi pour leur permettre d’alimenter une croissance nourrie par l’innovation, dans cette nouvelle ère post-pandémique.