Prendre sa part de responsabilité dans la sécurité des applications SaaS

Casser les silos

Lorsque les applications étaient produites en local, administrateurs et analystes pouvaient s'occuper de leur sécurité seuls, ou du moins en grande partie. Maintenant que les environnements cloud sont la norme, la sécurité des applications doit être partagée entre tous les départements.

« La sécurité est la responsabilité de tout le monde, et cela signifie DevOps, développeurs, informatique, tout le monde », estime ainsi Chris Moyer, vice-président de l’intégrateur ACI Information Group en charge de la technologie. Naturellement, certaines parties de l'organisation ont plus d'influence que d'autres, mais la sécurité des applications SaaS est un travail pour beaucoup, et pas seulement pour quelques-uns.

Une entreprise qui échoue à impliquer tous les acteurs concernés dans les efforts de sécurité des applications en mode cloud ne peut pas prendre des décisions éclairées sur les dépenses et les politiques de sécurité. « Tous les acteurs dans la chaîne logistique de sécurité doivent être impliqués dans l'obtention de la meilleure information possible », souligne ainsi Kevin Beaver, consultant en sécurité de l'information pour Principle Logic.

Les modèles Agile et DevOps axés sur l'automatisation peuvent fournir un cadre pour des efforts de sécurité holistiques. Une pratique de DevSecOps, en particulier, amène les experts en sécurité de l'entreprise au cœur des projets DevOps et la sécurité dans toutes les étapes du cycle de vie des logiciels.

En matière d'automatisation, les recouvrements ne sont pas rares entre outils de sécurité et DevOps. Mais les entreprises peuvent appliquer leurs outils d'orchestration à la sécurité. Par exemple, SaltStack Enterprise fournit une orchestration pour conteneurs et applications cloud, qui peut être également utilisée pour le contrôle des politiques de sécurité. Les outils DevOps centrés sur certaines tâches, comme Chef pour les tests automatisés, peuvent également s'appliquer à la sécurité.

Rationnaliser le parc applicatif

Mais la multiplication des applications cloud peut venir à bout des équipes de sécurité les mieux organisées. « La plupart des entreprises exécutent plus d'applications et de services cloud que leurs équipes internes de DevSecOps ne peuvent en gérer », souligne ainsi Ramon Krikken.

Fut un temps où il fallait des mois pour faire passer une application de la conception au déploiement. Mais aujourd’hui, les entreprises peuvent déployer des applications en mode cloud en quelques minutes. « C'est pourquoi peu d'entreprises effectuent des contrôles de sécurité pour chaque application qui passe le cap », explique Liz Herbert, analyste chez Forrester Research.

Et puis comme le souligne Ramon Krikken, beaucoup d'entreprises ne savent pas quelles applications en mode cloud elles utilisent. Et l’absence d’inventaire précis favorise les risques liés au Shadow IT.

Ensemble, la multiplication des applications et le Shadow IT donnent naissance à tout un portefeuille de logiciels non maîtrisés. Et pour Kevin Beaver, le plus grand risque consiste ici à échouer à tester les applications et les intégrations entre elles.

Pour gérer la sécurité d'un important portefeuille d'applications en mode cloud, les équipes DevSecOps devraient procéder à une évaluation complète des risques de sécurité, estime Liz Herbert. Pour elle, il convient de créer un inventaire de toutes les applications, services et ensembles d'outils, avant d’en analyser les vulnérabilités. L’étape suivante consiste à évaluer les certifications de sécurité du personnel et l'étendue de l'expertise. Ensemble, ces éléments peuvent orienter l'affectation des ressources en personnel et les investissements dans les outils et services de sécurité.

Une passerelle d’accès cloud sécurité (CASB) peut aider à identifier, visualiser et analyser les applications en nuage et leurs défauts de sécurité. « Les CASB agissent comme des gardiens des accès entre l'entreprise et les applications en mode cloud pour s'assurer que celles-ci répondent aux exigences de sécurité de l'entreprise », résume Ramon Krikken. Les CASB fournissent également une console d'administration pour la gestion de la sécurité des applications SaaS.

Eviter le bricolage

Certaines entreprises s’assurent elles-mêmes de la sécurité des applications en mode cloud, plutôt que de la confier à des tiers. Certes, il convient d’être prudent lorsque l’on expose du code et/ou des données sensibles à des services de sécurité extérieurs. Mais de tels services apportent plus de bénéfices que de menaces.

Non seulement le bricolage de la sécurité des applications cloud surcharge les équipes DevSecOps internes et crée des risques, mais il limite également la capacité d'une entreprise à rester compétitive, estime Ramon Krikken.

Pour lui, l'utilisation de services de sécurité tiers permet d'intégrer plus rapidement les applications en mode cloud, ce qui, à son tour, stimule l'innovation : « l'adoption future de l'informatique en mode cloud est plus facile parce que les bons éléments de support en matière de sécurité sont déjà en place ».

Et pour Chris Moyer, s’il est légitime de s’inquiéter des risques liés à la captivité vis-à-vis d’un fournisseur, il convient de les replacer dans la perspective des offres de sécurité de son fournisseur cloud principal. Son entreprise fait ainsi essentiellement confiance à AWS, y compris pour ses services de services : « je ne me souviens pas de la dernière fois où il y a eu une faille induite par un service de sécurité d'un fournisseur cloud ».

Reste que même avec des services de sécurité, une entreprise a encore beaucoup sur ses épaules. Pas question alors d’être paresseux et d’attendre de ses fournisseurs qu'ils assument toute la responsabilité. Kevin Beaver le déplore d’ailleurs : il continue de voir des clients qui supposent qu'un fournisseur de services de sécurité fait tout, et qui ne réalisent pas qu'ils doivent rester impliqués dans le processus.