Jérôme Clauzade, Bee Ware : « Il faut intégrer la sécurité applicative aux processus métiers »
En milieu d’année, Bee Ware a lancé la version 5.5 de son pare-feu pour applications Web, iSuite, avant de le décliner, tout récemment, pour les Amazon Web Services. Jérôme Clauzade, chef de produit chez Bee Ware, revient sur les enjeux de la sécurité applicative.
LeMagIT : En quoi les applications Web sont-elles particulièrement difficiles à protéger ?
Jérôme Clauzade : iSuite ajoute une couche de sécurité supplémentaire au niveau des applications Web. Pour une entreprise, la publication d’une application ou d’un service Web soulève de multiples questions. Les protections réseau classiques doivent bien sûr être mises en place, mais il est également nécessaire de protéger spécifiquement l’application et ses données. Un pare-feu classique et un anti-virus ne servent à rien pour les applications Web. Et pourtant, il convient de les protéger tant pour assurer la continuité de leur disponibilité que pour empêcher leur compromission et l’extraction de données. Notre solution va plus loin et vise désormais les services Web, à savoir tous ces flux Web exposés par l’entreprise à l’extérieur, mais également en son sein, notamment à destination des terminaux mobiles. Leur multiplication fait que l’on ne peut plus se contenter de faire confiance à l’utilisateur interne.
Les annonces régulières d’attaques, de fuites de données et de vols de mots de passe renforcent l’intérêt pour les pare-feu applicatifs. Car attaquer directement les applications s’avère plus simple et plus rapide que de tenter de passer par le réseau. Tout l’enjeu, pour des éditeurs comme nous, consiste à ne pas seulement savoir protéger des applications du marché, mais également les applications métiers des clients. Surtout, nous devons apporter un maximum de fonctionnalités tout en nous assurant de ne pas constituer un frein au déploiement et au fonctionnement des applications protégées. Et nous nous sommes ouverts à AWS pour accompagner nos clients utilisant l’infrastructure d’Amazon pour produire leurs applications.
LeMagIT : Wordpress vient de lancer la version 3.7 de son système de gestion de contenus (CMS), intégrant un mécanisme d’application automatique de certaines mises à jour, et notamment des correctifs de sécurité. Y voyez-vous un pas dans la bonne direction ?
Jérôme Clauzade : C’est très très bien, dans le cas de Wordpress, mais également de manière plus générale : il est positif que des éditeurs et des créateurs d’applications embarquent la sécurité dans leurs cycles de vie. Drupal, par exemple, a intégré des notions de sécurité très tôt.
Mais les CMS que l’on trouve dans les entreprises ne sont pas toujours mis à jour, soit pour des raisons de suivi, soit parce qu’une application d’entreprise qui marche, on n’y touche pas. J’ai vu des CMS dans des états déplorables en termes de version, bien qu’ils soient sensibles. Mais puisqu’ils étaient justement sensibles, on préférait ne pas y toucher. Et là, pour certains, l’idée de mises à jour automatiques peut paraître assez inquiétante, d’autant plus que les entreprises adaptent toujours un peu les CMS qu’elles déploient.
Et les éditeurs ne sont pas exempts de reproches. On peut trouver des CMS qui s’installent très bien sans que l’on ait à changer le mot de passe par défaut. Alors même que des robots surfent constamment sur Internet à la recherche de CMS utilisant encore les mots de passe par défaut. Et avec succès.
La sécurité des applications Web est une chaîne complète qui commence par le développement, nécessite des personnes concernées et informées, une bonne configuration des produits, et le déploiement de solutions complémentaires comme la nôtre.
LeMagIT : Les notions d’analytique Big Data, de renseignement, ou encore de partage d’informations s’imposent progressivement dans le discours des grands éditeurs de solutions de sécurité. Vous inscrivez-vous dans cette logique ?
Jérôme Clauzade : Je suis d’accord avec cette logique et elle est clairement pertinente. La sécurité applicative, ce n’est pas un produit et une personne isolée. Certes, le pare-feu applicatif est utile en un point. Mais il devient beaucoup plus utile lorsqu’il peut partager l’information avec plusieurs équipements ou, au moins, tous les produits de sécurité d’une même entreprise. Nous le faisons déjà avec notre console centralisée. Mais il faut aller plus loin et construire des mash-ups de sécurité. Ce que l’on fait par exemple avec Qualys.
Plus loin - mais c’est difficile à mettre en place -, il faudrait développer une base d’expérience partagée entre nos clients qui le souhaitent voire, à terme, une sorte de référentiel national ou international de comportements, de motifs d’attaque, d’adresses IP malveillantes, etc. Tout le monde y gagnerait énormément de temps, fournisseurs et clients.
LeMagIT : Ne commence-t-on pas justement à voir des éditeurs proposer des solutions qui se positionnent au sommet de la pile pour fournir intelligence et contrôle sur la pile de sécurité ?
Jérôme Clauzade : Tout à fait, mais je ne crois pas aux surcouches. Certes, cela permet de vendre plus de produits mais cela implique aussi plus d’administration. Nos clients doivent aujourd’hui administrer beaucoup de produits autonomes. Ils ont besoin de plus de simplicité, de pertinence. Bref, que les produits soient capables de communiquer entre eux.
Dès 2009, nous nous sommes inscrits dans cette démarche en prévoyant des interfaces permettant le pilotage de notre produit par des outils tiers. Aujourd’hui, un outil de supervision ou d’administration de la sécurité est capable d’appeler n’importe quelle fonction de notre produit. Notre but est de nous effacer, de nous fondre dans les processus métiers. Et je pense que c’est la ligne à suivre pour les outils de sécurité.
Le pare-feu applicatif n’a pas à être plus qu’un point d’application de la sécurité. Et peu importe la nature du point de décision : SIEM ou autre, notre produit peut être entièrement déployé, configuré, par une API. Et c’est ce que demandent nos clients. Ils ne veulent pas d’une interface monolithique confiée à un expert. C’est trop risqué. Le but est donc d’apporter la sécurité à tous ceux qui sont impliqués, jusqu’aux utilisateurs métiers. Et c’est particulièrement vrai avec la sécurité applicative où les interlocuteurs sont nombreux, et où la problématique s’avère plus métiers que technique. Par le passé, on a peut être trop essayé de traiter la sécurité des applications comme celle du réseau.
Il s’agit donc d’intégrer la sécurité applicative dans les processus métiers. Nous sommes prêts, et nous sommes les seuls à aller aussi loin. Après, cela dépend de la maturité des entreprises.