Avis d’expert
« La sécurité applicative reste un travail d’orfèvre. »
Arnaud Cassagne,
directeur des opérations de Newlode
Les grandes organisations n’appréhendent pas mieux les problématiques de sécurité que certaines PME. C’est une question de personnes et de maturité informatique, souligne Arnaud Cassagne, le directeur des opérations de Newlode. « Un projet de gestion d’identité et d’accès requiert une centaine de jours pour 20 000 utilisateurs. Le gain principal est au niveau de la gestion du cycle de vie de l’utilisateur. Le nouvel entrant peut travailler dès son premier jour dans l’entreprise. Et, lorsqu’il la quitte, il n’y a plus de reliquat de comptes internes. Il y a dix ans, les entreprises fortunées retenaient des technologies à base de référentiels de sécurité. Mais leur implémentation prenait beaucoup de temps. Depuis trois ans, on bâtit plutôt un puits de données unique contenant les habilitations, autour de solutions telles que Centrify, Okta ou Ping Identity. On voit davantage d’orchestration, d’automatisation et de démarches DevOps pour répondre aux besoins de transversalité. Mais la sécurité applicative reste un travail d’orfèvre. On ne peut pas tout automatiser. La dernière tendance est à la surveillance continue, où le scanner de vulnérabilités va demander, au cas par cas, l’activation des fonctions du coupe-feu applicatif. C’est un virage qui prendra des années. Nos clients adoreraient faire de la sécurité dès la conception, mais guidés par les impératifs de production, ils continuent à en faire seulement lorsqu’ils ont le temps. »
