Halfpoint - Fotolia
Automatisation de la sécurité : « Il n’y a pas de solution miracle valable pour tous » (Rapid7)
Pas question de pousser l’automatisation partout et dans tous les domaines de la sécurité informatique. Les freins organisationnels et culturels sont encore trop puissants. Mais les avancées seraient déjà là pour Corey Thomas, PDG de Rapid7.
En juillet dernier, Rapid7, spécialiste historique de la gestion des vulnérabilités, a étendu l’éventail fonctionnel de son offre avec une couche d’automatisation, à l’occasion du rachat de Komand. De passage à Monaco début octobre pour les Assises de la Sécurité, Corey Thomas, PDG de Rapid7, a accepté de développer sa vision de la place de l’automatisation dans la gestion des vulnérabilités, avec ses limites - qu’elles soient humaines ou organisationnelles.
LeMagIT : Automatisation et orchestration s’imposent depuis bientôt deux ans dans le langage marketing des spécialistes de la sécurité. Mais du côté des entreprises, la méfiance apparaît encore grande.
Corey Thomas : L’automatisation de la sécurité est un concept difficile à saisir, mais nous pensons pourtant depuis longtemps qu’il est important.
Pour bien l’appréhender, il est nécessaire de voir avec quoi il contraste. Dans mon esprit, ce contraste n’est pas tant technique qu’humain.
La plupart des entreprises sont en phase de transformation. Elles peinent à assurer la maintenance de leur infrastructure existante alors même qu’elles doivent accélérer les investissements dans de nouvelles innovations pour rester compétitives. Nous l’observons dans l’hôtellerie, dans la santé, etc. La question est donc de savoir commencer accélérer le déploiement d’innovations alors même que la gestion de l’existant est difficile. C’est d’autant plus important qu’en définitive toutes les vulnérabilités résultent d’un manque d’efficacité dans la maintenance et l’administration. Si j’ai beaucoup de vulnérabilités exposées, c’est que je ne sais pas administrer et entretenir mon infrastructure correctement.
LeMagIT : Cela ressemble plus à un problème de gestion de la production des services IT que de gestion de la sécurité, non ?
Corey Thomas : Effectivement, et c’est là que l’automatisation entre en jeu. Car pour résoudre cette équation, il y a deux options : embaucher plus de personnes ou rendre mes équipes plus productives en automatisant certaines de leurs tâches. C’est là que se situe le contraste aujourd’hui.
LeMagIT : Pour la maintenance, l’automatisation n’est pas délicate à mettre en œuvre, en particulier pour les systèmes personnalisés comme les PGI ?
Corey Thomas : Et encore, si c’était la seule raison pour le manque de gestion des correctifs et de la maintenance ! Sur le terrain, le dialogue avec nos clients a évolué depuis trois ou quatre ans. Il est passé de « ne me parlez pas de ça » à « ok, comment déployons-nous cela rapidement ».
Il y a trois types de systèmes dans une entreprise. Tout d’abord les systèmes critiques très complexes. Ceux-là continueront d’être pilotés manuellement. L’orchestration peut jouer un rôle, mais il sera limité. Et là, nous nous intégrons par exemple avec ServiceNow.
Viennent ensuite les systèmes non-critiques, qui fournissent des services d’infrastructure. Et là, la question est pour l’essentiel de savoir comment être plus productif. Ces systèmes sont bien adaptés à une approche basée sur l’automatisation et l’analytique.
Enfin viennent les systèmes de niveau trois, comme la majorité des postes de travail – hors postes spécialisés dans le monde médical ou industriel, par exemple. Pour tous ceux-là, il est très largement possible d’automatiser les mises à jour de sécurité, l’application des correctifs, ou encore le respect d’une configuration standard. Et l’exposition des points de terminaison est justement l’un des principaux vecteurs d’attaque.
Il n’y a donc pas de solution miracle valable pour tous, mais des approches différenciées.
LeMagIT : Mais quid de cette dépendance aux applications métiers, régulièrement brandie pour justifier de ne pas passer à une nouvelle version de Windows sur les postes de travail ?
Corey Thomas : C’est moins vrai aujourd’hui que cela ne le fut par le passé. De plus en plus d’organisations ont migré vers des applications métiers « modernes ». Elles sont donc moins contraintes par les applications client lourd traditionnelles, aux dépendances multiples.
C’est l’expérience utilisateur qui peut être source d’un autre blocage. Je pense que nous avons rendu incroyablement difficile d’assurer la sécurité tout en permettant aux utilisateurs de faire effectivement leur travail. La communauté de la technologie a intégré aux processus des complexités superflues. Or je pense que l’on peut avoir la sécurité, sans renoncer à l’utilisabilité.
Mais souvent, l’automatisation se heurte au manque de visibilité sur les systèmes concernés. C’est d’ailleurs la raison de l’approche que nous avons retenue : avant d’engager une mise à jour, il est possible de lancer une requête pour savoir tout ce qui fonctionne sur les systèmes visés. En parallèle, il est possible de maintenir un catalogue interne de dépendances. L’automatisation peut dès lors se faire en tenant compte du contexte spécifique de l’environnement visé. Et s’il y a un conflit ou une impossibilité de mettre à jour automatiquement, on peut faire appel à l’orchestration pour engager le workflow nécessaire à la gestion de la part du parc restée à la marge.
L’automatisation n’atteint peut-être pas les 100 %, mais avec la part concernée, la productivité de l’organisation progresse déjà sensiblement et la posture de sécurité est améliorée. Sans compter que l’on a aussi mis en exergue les faiblesses.