AVIS D’EXPERT – Dans le cycle d’évolution d’un projet, lorsque vient le temps d’intégrer la sécurité ou de publier des correctifs et de nouvelles mises à jour, c’est là que naissent les conflits potentiels entre disponibilité et sécurité, deux critiques pour l’IT. Par Ronald de Temmerman, VP Strategic Sales EMEA – PKI & IAM Services, GlobalSign.
Pour les équipes d’exploitation, la disponibilité reste la priorité absolue. Leur objectif est de maintenir un temps de disponibilité (uptime) stable pour que les opérations se déroulent sans interruption. Les équipes de sécurité se concentrent, quant à elles, uniquement sur la création d’un environnement sécurisé. Sur le long terme, l’une ne peut être performante sans l’autre. Les deux équipes ont cependant des objectifs bien différents.
Cela se traduit par de fréquents conflits entre les équipes d’exploitation et de sécurité. La mise à disposition est sans doute plus simple, si l’on n’a pas à tenir compte de la sécurité. Or la sécurité arrivant souvent à la fin du processus de développement itératif, des tensions peuvent survenir entre les Ops et Sec. Problème : sans collaboration ou communication fluide entre les équipes, les organisations risquent de transiger sur la disponibilité ou la sécurité.
Prenons l’exemple d’une équipe de sécurité qui exigerait la mise à l’arrêt des systèmes pour pouvoir appliquer des correctifs, sans avoir vraiment prévenu. Alors oui, l’environnement sera sécurisé, mais la disponibilité globale sera nettement réduite. De même, pour tenir des objectifs de disponibilité de 99,999 %, une importante quantité de serveurs, de données et de services doivent être mobilisés qui nécessiteront, à leur tour, une surveillance et une protection continues.
Regardons de plus près quelques-unes des principales causes de conflits entre disponibilité et sécurité dans les environnements IT :
Conflits de valeurs
L’inévitable conflit de valeurs entre disponibilité et sécurité engendre également des tensions au moment où les équipes « mixtes » doivent convenir des bonnes pratiques. Ainsi, dans un cadre SecOps, plusieurs équipes s’associent, avec des tâches, des objectifs et des responsabilités spécifiques. Si tout le monde convient de l’intérêt de travailler en bonne intelligence, il est compliqué de parvenir à un consensus autour des workflows et des bonnes pratiques à adopter — à cause de ces conflits de valeurs.
Pour les équipes DevOps, l’application de correctifs de vulnérabilités est synonyme de temps d’arrêt et de perturbations — eux-mêmes sources de problèmes et de désagréments pour les utilisateurs. Fort logiquement, ces équipes privilégient les temps d’arrêt planifiés dans leurs efforts de priorisation des problèmes de sécurité.
Or les fenêtres de maintenance et les temps d’arrêt planifiés ne permettent pas toujours d’appliquer des correctifs complets. Les mises à jour réseau ne sont pas forcément calées sur le calendrier de votre organisation. Quant aux hackers, ils n’attendront certainement pas votre prochaine mise à jour de sécurité pour lancer une attaque.
Complexité
L’un des premiers dilemmes porte sur le choix de la fréquence des correctifs et de la rapidité de réaction après la publication de vulnérabilités connues. Ce choix impacte soit la disponibilité, soit la sécurité. Parfois, réduire les risques s’avère plus compliqué que d’exécuter une mise à jour ou corriger une vulnérabilité spécifique.
Certaines vulnérabilités se situent par exemple au niveau du langage de programmation. Elles impactent alors toutes les applications écrites dans le langage concerné. Il arrive que les équipes d’exploitation et de sécurité ne maîtrisent pas les subtilités de certains langages. S’ils ignorent tout des procédures de journalisation en Python, comment pourront-ils corriger une vulnérabilité dans PHP ?
C’est là qu’interviennent les développeurs et que sont constituées des équipes DevSecOps. Le fragile équilibre entre disponibilité et sécurité est à nouveau mis à mal. En effet, pour corriger la vulnérabilité, les équipes doivent non seulement mettre la version du langage à jour, mais elles doivent aussi réécrire le code de l’application en intégrant les modifications apportées au niveau du langage.
Avec un tel degré de complexité, les développeurs voient leur charge doubler, les équipes IT ne peuvent plus assurer leurs missions principales et les spécialistes en sécurité doivent à nouveau intervenir de longues heures pour sécuriser une toute nouvelle application.
Problèmes d’approches
À ce stade, tout part à vau-l’eau. Partout, c’est la panique, personne ne sait comment procéder et les organisations subissent alors de fréquents incidents sur leurs données. En plus d’avoir à gérer un conflit multidimensionnel, elles doivent également rétablir leur réputation auprès de leurs clients.
L’idée d’une approche descendante (top-down) peut apparaître comme étant la meilleure solution. Mais si ces actions permettent, dans une certaine mesure, de résoudre les problèmes, aucune équipe n’est entièrement satisfaite du résultat. On se retrouve au bout du compte avec une organisation médiocre qui génère des produits et des services tout aussi médiocres.
L’autre problème avec ces approches tient au fait que bien souvent, les systèmes restent longtemps sans correctifs, offrant aux pirates de nombreuses occasions de s’introduire dans la place, et d’attendre, tapis dans l’ombre, le bon moment pour lancer leur attaque.
La solution : l’application de correctifs sans interruption
La bataille semble perdue d’avance. Peu importe la façon dont vous abordez les choses, il vous faudra gérer des risques importants, sachant que le choix de la méthode impactera soit la disponibilité, soit la sécurité. Il y a toutefois moyen d’atténuer, voire de résoudre, les situations conflictuelles autour du dilemme « perturbations » vs « retards dans l’application des correctifs ».
Qu’est-ce que l’application de correctifs sans interruption ?
L’application de correctifs sans friction (frictionless patching) signifie que les correctifs sont appliqués sans interruption et simultanément sur le plus de niveaux possible afin de garantir la sécurité et la disponibilité. La cybersécurité protège tout le monde, y compris les entreprises, les utilisateurs et le personnel. La sécurité est indispensable dans notre environnement actuel. Face à des pirates qui disposent d’un large arsenal de techniques pour s’emparer de vos données personnelles et exploiter diverses vulnérabilités à leur profit, nous devons changer notre regard sur la sécurité.
La sécurité pour tous
La sécurité ne doit plus être considérée comme une pratique réservée aux profils et aux experts techniques. Elle doit être la plus fluide pour tous : développeurs, équipes d’exploitation, personnel de sécurité et profils non techniques. Dans l’avenir numérique ves lequel nous nous orientons collectivement, chaque utilisateur devra démontrer une connaissance pratique des usages et des solutions de sécurité.
Or pour 84 % des responsables informatiques selon une étude (source Egress), l’erreur humaine était la première cause de toutes les violations de données enregistrées en 2021. Même dans les entreprises ayant mis en place des programmes de sensibilisation à la cybersécurité pour leurs collaborateurs non techniques, les chiffres sont éloquents. 61 % des salariés (source Epignosis) échouent au questionnaire de base sur la cybersécurité qui leur est proposé. La productivité étant leur objectif principal, l’ajout de mesures de sécurité supplémentaires est voué à l’échec, dès lors qu’elles sont perçues comme des contraintes qui font obstacle à leur productivité.
Pour combler les angles morts de votre écosystème de cybersécurité, la sécurité doit s’appuyer sur des processus fluides et porteurs de sens pour l’ensemble des personnes concernées dans l’organisation.
Quelle solution au dilemme disponibilité et sécurité ?
Toutes les équipes IT devraient avoir dans leur boîte à outils un outil de live patching – à savoir d’application de correctifs en temps réel. Ce type d’outil permet aux équipes de sécurité d’appliquer des correctifs beaucoup plus rapidement que dans le cadre de fenêtres de maintenance régulières. L’application de nouvelles mises à jour ne requiert alors aucun redémarrage. Il s’agit d’un correctif rapide et sûr, avec peu, voire aucun, temps d’arrêt. Serait-ce là l’équilibre entre disponibilité et sécurité recherché par toutes les organisations ?
Dans les secteurs manufacturier, financier et médical, les entreprises doivent privilégier les logiciels de communication dont les fonctionnalités stratégiques permettent de garantir une disponibilité 24 h/7 j sans crainte d’infiltration de vulnérabilités dans leurs systèmes à cause de risques au niveau des langages de programmation.
Dernières réflexions
Les outils d’application de correctifs en direct offrent un moyen simple et efficace de résoudre les conflits entre les équipes IT. Ils renforcent également la sécurité de l’écosystème à l’échelle de l’organisation. Non seulement ils permettent d’appliquer les correctifs rapidement et sans temps d’arrêt, mais ils peuvent également corriger plusieurs programmes sans interruption de service. Les outils d’application de correctifs en direct se concentrent sur les problèmes de sécurité sans introduire de modifications du code qui exigeraient un réusinage.
En clair : le code d’une entreprise peut s’exécuter tel qu’il est, sans transiger sur la sécurité ou la disponibilité.
