Sergey Nivens - stock.adobe.com
Prendre sa part de responsabilité dans la sécurité des applications SaaS
Difficile d’assurer la robustesse de ses applications en mode cloud ? Pour les experts, il est temps d’adopter des approches DevSecOps ainsi que de miser sur des outils et des services de sécurité tiers.
Les utilisateurs sont à l’origine de la plupart des défaillances de sécurité des applications SaaS, et non pas leurs éditeurs. Les entreprises doivent adapter leurs stratégies pour faire face à cette réalité.
Les entreprises devraient dépenser beaucoup en produits et services de sécurité, cette année encore. Mais la sécurité intrinsèque des applications en mode cloud n'est plus la principale préoccupation des entreprises : il s'agit de savoir si une entreprise peut utiliser le SaaS en toute sécurité, explique Ramon Krikken, analyste chez Gartner.
Mais à ce jour, ce n’est pas le cas pour beaucoup d’entre elles. Et ce problème n’est pas près de disparaître : d'ici 2022, Gartner prévoit que les utilisateurs causeront 95 % des failles de sécurité affectant des applications SaaS.
La responsabilité de la sécurité des applications cloud est partagée entre éditeurs et utilisateurs. Mais les entreprises doivent savoir où s'arrête celle des éditeurs et où commence la leur. En règle générale, les fournisseurs sécurisent l'infrastructure sous-jacente, tandis que les utilisateurs doivent sécuriser les applications, les plates-formes logicielles, les données et les intégrations.
Les utilisateurs échouent souvent dans la gestion de la sécurité des applications SaaS dans quatre domaines : le contrôle des applications avant le déploiement, le contrôle des téléchargements des employés, la documentation et la gestion des portefeuilles d’applications SaaS, et l'exécution des tâches de maintenance de sécurité, telles que la gestion des correctifs et des configurations.
Casser les silos
Lorsque les applications étaient produites en local, administrateurs et analystes pouvaient s'occuper de leur sécurité seuls, ou du moins en grande partie. Maintenant que les environnements cloud sont la norme, la sécurité des applications doit être partagée entre tous les départements.
« La sécurité est la responsabilité de tout le monde, et cela signifie DevOps, développeurs, informatique, tout le monde », estime ainsi Chris Moyer, vice-président de l’intégrateur ACI Information Group en charge de la technologie. Naturellement, certaines parties de l'organisation ont plus d'influence que d'autres, mais la sécurité des applications SaaS est un travail pour beaucoup, et pas seulement pour quelques-uns.
Une entreprise qui échoue à impliquer tous les acteurs concernés dans les efforts de sécurité des applications en mode cloud ne peut pas prendre des décisions éclairées sur les dépenses et les politiques de sécurité. « Tous les acteurs dans la chaîne logistique de sécurité doivent être impliqués dans l'obtention de la meilleure information possible », souligne ainsi Kevin Beaver, consultant en sécurité de l'information pour Principle Logic.
Les modèles Agile et DevOps axés sur l'automatisation peuvent fournir un cadre pour des efforts de sécurité holistiques. Une pratique de DevSecOps, en particulier, amène les experts en sécurité de l'entreprise au cœur des projets DevOps et la sécurité dans toutes les étapes du cycle de vie des logiciels.
En matière d'automatisation, les recouvrements ne sont pas rares entre outils de sécurité et DevOps. Mais les entreprises peuvent appliquer leurs outils d'orchestration à la sécurité. Par exemple, SaltStack Enterprise fournit une orchestration pour conteneurs et applications cloud, qui peut être également utilisée pour le contrôle des politiques de sécurité. Les outils DevOps centrés sur certaines tâches, comme Chef pour les tests automatisés, peuvent également s'appliquer à la sécurité.
Rationnaliser le parc applicatif
Mais la multiplication des applications cloud peut venir à bout des équipes de sécurité les mieux organisées. « La plupart des entreprises exécutent plus d'applications et de services cloud que leurs équipes internes de DevSecOps ne peuvent en gérer », souligne ainsi Ramon Krikken.
Fut un temps où il fallait des mois pour faire passer une application de la conception au déploiement. Mais aujourd’hui, les entreprises peuvent déployer des applications en mode cloud en quelques minutes. « C'est pourquoi peu d'entreprises effectuent des contrôles de sécurité pour chaque application qui passe le cap », explique Liz Herbert, analyste chez Forrester Research.
Et puis comme le souligne Ramon Krikken, beaucoup d'entreprises ne savent pas quelles applications en mode cloud elles utilisent. Et l’absence d’inventaire précis favorise les risques liés au Shadow IT.
Ensemble, la multiplication des applications et le Shadow IT donnent naissance à tout un portefeuille de logiciels non maîtrisés. Et pour Kevin Beaver, le plus grand risque consiste ici à échouer à tester les applications et les intégrations entre elles.
Pour gérer la sécurité d'un important portefeuille d'applications en mode cloud, les équipes DevSecOps devraient procéder à une évaluation complète des risques de sécurité, estime Liz Herbert. Pour elle, il convient de créer un inventaire de toutes les applications, services et ensembles d'outils, avant d’en analyser les vulnérabilités. L’étape suivante consiste à évaluer les certifications de sécurité du personnel et l'étendue de l'expertise. Ensemble, ces éléments peuvent orienter l'affectation des ressources en personnel et les investissements dans les outils et services de sécurité.
Une passerelle d’accès cloud sécurité (CASB) peut aider à identifier, visualiser et analyser les applications en nuage et leurs défauts de sécurité. « Les CASB agissent comme des gardiens des accès entre l'entreprise et les applications en mode cloud pour s'assurer que celles-ci répondent aux exigences de sécurité de l'entreprise », résume Ramon Krikken. Les CASB fournissent également une console d'administration pour la gestion de la sécurité des applications SaaS.
Eviter le bricolage
Certaines entreprises s’assurent elles-mêmes de la sécurité des applications en mode cloud, plutôt que de la confier à des tiers. Certes, il convient d’être prudent lorsque l’on expose du code et/ou des données sensibles à des services de sécurité extérieurs. Mais de tels services apportent plus de bénéfices que de menaces.
Non seulement le bricolage de la sécurité des applications cloud surcharge les équipes DevSecOps internes et crée des risques, mais il limite également la capacité d'une entreprise à rester compétitive, estime Ramon Krikken.
Pour lui, l'utilisation de services de sécurité tiers permet d'intégrer plus rapidement les applications en mode cloud, ce qui, à son tour, stimule l'innovation : « l'adoption future de l'informatique en mode cloud est plus facile parce que les bons éléments de support en matière de sécurité sont déjà en place ».
Et pour Chris Moyer, s’il est légitime de s’inquiéter des risques liés à la captivité vis-à-vis d’un fournisseur, il convient de les replacer dans la perspective des offres de sécurité de son fournisseur cloud principal. Son entreprise fait ainsi essentiellement confiance à AWS, y compris pour ses services de services : « je ne me souviens pas de la dernière fois où il y a eu une faille induite par un service de sécurité d'un fournisseur cloud ».
Reste que même avec des services de sécurité, une entreprise a encore beaucoup sur ses épaules. Pas question alors d’être paresseux et d’attendre de ses fournisseurs qu'ils assument toute la responsabilité. Kevin Beaver le déplore d’ailleurs : il continue de voir des clients qui supposent qu'un fournisseur de services de sécurité fait tout, et qui ne réalisent pas qu'ils doivent rester impliqués dans le processus.