Voici une question rapide : sais-tu où se trouvent toutes tes données sensibles ? Comme les entreprises de toutes tailles génèrent, accumulent, stockent et traitent plus d'enregistrements de données dans plus d'endroits que jamais, il est de plus en plus difficile de classer et de suivre toutes ces données – sans parler de leur utilisation.
D'une part, les entreprises se précipitent dans la transformation numérique avec leurs silos de données isolés et leur code hérité obsolète. D'autre part, 86 % des développeurs admettent qu'ils ne considèrent pas la sécurité des applications comme une priorité absolue lorsqu'ils codent.
Quelque part entre les deux se trouvent Les RSSI face à l'épuisement professionnel alors qu'ils tentent de faire respecter les meilleures pratiques en matière de sécurité du code, les réglementations relatives à la protection de la vie privée et les normes de conformité dans le processus chaotique qu'est le cycle de vie du développement logiciel.
Pourquoi les données sont-elles dispersées ?
Que tu le veuilles ou non, la plupart des données produites, stockées et traitées par les applications professionnelles sont distribuées par nature. La distribution logique et physique des données est nécessaire pour qu'une application puisse évoluer en termes de fonctionnalités et de performances. Les organisations stockent différents types de données dans différents fichiers et bases de données à des fins diverses.
L'exemple classique de la distribution des données au sein d'une entreprise est celui des données sur les acheteurs et les clients. Une PME peut avoir des données sur les prospects, les commandes d'entrepôt, le CRM et la surveillance des médias sociaux réparties sur des dizaines d'applications SaaS développées en interne et par des tiers. Ces applications lisent et écrivent des données à différents intervalles et formats dans des référentiels détenus et partagés. Dans de nombreux cas, chacune dispose également de divers schémas et noms de champs pour stocker exactement les mêmes données.
Les processus de développement d'applications distribuent une part importante des données au sein de l'architecture de l'application, en particulier en ce qui concerne les architectures sans serveur, basées sur les microservices, les API et l'intégration de code tiers (open source). Ainsi, la question critique n'est pas de savoir pourquoi nous distribuons des données dans nos applications. Il s'agit plutôt de savoir comment nous pouvons les gérer de manière efficace et sécurisée tout au long de leur cycle de vie dans notre application.
Cartographie des données distribuées : L'effort en vaut-il la peine ?
La sécurité des applications Shift left, la sécurité des big data, la sécurité du code et l'ingénierie de la confidentialité ne sont pas des concepts nouveaux. Cependant, les ingénieurs logiciels et les développeurs commencent seulement à adopter des outils et des méthodologies qui garantissent que leur code et leurs données sont à l'abri des malfaiteurs. Principalement parce que, jusqu'à récemment, les outils de sécurité étaient conçus et construits pour être utilisés par les équipes de sécurité de l'information plutôt que par les développeurs.
La protection de la vie privée dès la conception n'est pas non plus une nouveauté, mais dans la vélocité trépidante d'aujourd'hui et la culture des développeurs axée sur la livraison, la confidentialité des données a encore tendance à être négligée. Elle reste souvent ignorée jusqu'à ce que les normes réglementaires (comme GDPR, PCI et HIPAA) deviennent des priorités pour l'entreprise. Sinon, à la suite d'une violation de données, la suite C peut exiger que tous les départements concernés prennent leurs responsabilités et introduisent des mesures préventives.
Ce serait formidable si tous les services logiciels et les algorithmes étaient développés selon les principes de la protection de la vie privée dès la conception. Nous aurions des systèmes planifiés et construits de manière à faciliter la gestion des données, ce qui simplifierait le contrôle d'accès dans toute l'architecture de l'application et intégrerait la conformité et la sécurité du code dans le produit dès le premier jour. En bref, ce serait absolument fantastique. Mais ce n'est pas le cas dans la plupart des équipes de développement aujourd'hui. Par où commencer si l'on veut être proactif en matière de confidentialité des données ?
La première étape de la protection des données consiste à savoir où elles résident, qui y accède et où elles vont. Ce processus apparemment simple s'appelle la cartographie des données. Il consiste à découvrir, évaluer et classer les flux de données de ton application.
La cartographie des données implique l'utilisation d'outils manuels, semi-automatiques et entièrement automatisés pour recenser et répertorier chaque service, base de données, stockage et ressource tierce qui constitue tes processus de données et touche les enregistrements de données.
La cartographie des flux de données de ton application te donnera une vue d'ensemble des pièces mobiles de ton application et t'aidera à comprendre les relations entre les différents composants des données, indépendamment du format de stockage, du propriétaire ou de l'emplacement (physique ou logique).
Ne t'attends pas à un parcours facile : Cartographier tes données à des fins de conformité, de sécurité, d'interopérabilité ou d'intégration est plus facile à dire qu'à faire. Voici les obstacles auxquels tu peux t'attendre.
Représentation d'une cible en mouvement : Selon la taille et la complexité globales de ton application, un processus manuel de cartographie des données peut prendre des semaines, voire des mois. Étant donné que la plupart des applications qui nécessitent une cartographie des données sont des projets florissants et en pleine croissance, tu te retrouveras souvent à courir après la vélocité de l'expansion de la base de code et à déployer des magasins de données supplémentaires tout au long des micro-services et des tâches de traitement des données distribuées. Quelle que soit la façon dont tu la tournes, ta carte de données est obsolète dès qu'elle est terminée.
La facilité de distribution des données : Pourquoi de nouveaux magasins de données apparaissent-ils plus vite que tu ne peux les cartographier ? Parce qu'il est si facile de déployer de nouvelles fonctionnalités basées sur les données, des microservices et des flux de travail à l'aide d'outils et de services basés sur le cloud. Au fur et à mesure que ton application se développe, le nombre de services touchant aux données augmente également. De plus, comme les développeurs adorent expérimenter de nouvelles technologies et de nouveaux cadres, tu peux te retrouver à gérer une infrastructure conteneurisée complexe (avec Docker et les clusters Kubernetes) qui a peut-être été un jeu d'enfant à déployer, mais qui est un cauchemar à cartographier.
Les horreurs du code hérité : Lorsque les entreprises entreprennent la transformation numérique de leurs systèmes hérités, elles doivent se pencher sur les données utilisées et créées par ces systèmes. Dans de nombreux cas, en particulier dans les entreprises établies, la personne qui a écrit et maintenu le code hérité à l'origine ne fait plus partie de l'entreprise. C'est donc à toi d'explorer les subtilités de l'interconnectivité des services et de la normalisation des données dans un environnement obsolète dont la visibilité ou la documentation est limitée.
Intégrer l'ingénierie de la sécurité et de la protection de la vie privée dans tes applications
Ce n'est un secret pour personne : des données sont volées tous les jours. À tel point que tu peux à peu près garantir que ton adresse électronique figure dans un ou plusieurs ensembles de données en vente sur le dark web. Que peux-tu faire pour protéger ton application et tes données de la cupidité des cybercriminels et de la surveillance des organismes de réglementation ?
Scanne ton code pour cartographier tes données : Les pipelines et processus CI/CD modernes emploient des outils de test statique de la sécurité des applications (SAST) pour identifier les problèmes de code, les vulnérabilités de sécurité et les secrets de code accidentellement poussés vers des référentiels tournés vers le public. Tu peux utiliser une technique similaire d'analyse statique du code pour découvrir et cartographier les flux de données dans ton application.
Cette approche permet de cartographier les composants du code qui peuvent accéder aux données, les traiter et les stocker, ce qui permet de cartographier les flux de données sans explorer complètement le contenu d'une base de données ou d'un magasin de données.
Appliquer des limites claires pour les microservices : Dans une architecture de microservices, chaque microservice devrait (idéalement) être autonome (pour le meilleur et pour le pire). Mais où s'arrête chaque microservice et où commence un autre concernant les données sensibles ?
Tu peux identifier les limites de chaque microservice ainsi que le modèle de domaine et les données qui s'y rapportent en te concentrant sur les modèles de domaine logiques de l'application et les données qui s'y rapportent. Ensuite, essaie de minimiser le couplage entre ces microservices.
Sécurise tes données sensibles : Les données de ton organisation sont son bien le plus précieux, et les solutions de gestion de la posture de sécurité des données (DSPM) sont la clé pour les sauvegarder. Ces solutions sont capables de repérer les données sensibles stockées dans le cloud, de déterminer qui est autorisé à y accéder et d'analyser la posture de sécurité globale des données.
Déplace-toi vers la gauche pour protéger la vie privée dans un monde distribué
La sécurité et la confidentialité des données sont rarement une priorité pour les développeurs d'applications. Il n'est donc pas surprenant que les données des applications puissent flotter autour de tes actifs dans le cloud et de tes appareils sur site sans être cataloguées ni gérées. Cependant, en 2023, tu ne peux pas te permettre de négliger… les lois sur la confidentialité des données et les menaces potentielles pour la sécurité des données qui se cachent dans ton code.
Cartographier les flux de données qui entrent et sortent de ton application est la première étape pour déplacer la vie privée à gauche et intégrer l'ingénierie de la vie privée, la conformité et la sécurité du code dans ton pipeline CI/CD.
Dotan Nahum est fondateur et PDG de Spectralops.io partie de CheckPoint Image : Pixabay / Geralt
Tu pourrais aussi lire :
Souveraineté des données:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
