Les experts en sécurité ont cité le passage aux applications natives du cloud comme un moteur d'opportunités et de défis importants dans le domaine de la cybersécurité. Dans un récent rapport ISG Provider Lens™ Cloud Native Services and Solutions pour les États-Unis, on peut lire : ” L'écosystème américain autour des conteneurs, de Kubernetes et des services connexes entre dans une phase plus mature, à mesure que les développeurs et la communauté informatique parviennent à mieux comprendre les avantages et les défis qui accompagnent les technologies cloud-natives.
En outre, les systèmes de sécurité traditionnels basés sur la protection d'un périmètre autour de l'entreprise ne sont pas non plus à la hauteur des architectures cloud-natives. Les environnements multi-développeurs et multi-plateformes composés de composants logiciels largement distribués nécessitent des solutions de sécurité spécialisées.”
C'est un changement qui est en marche depuis plusieurs années et la dynamique commence enfin à s'installer. À cette fin, tu trouveras ci-dessous cinq prédictions dans ce domaine qui devraient se concrétiser en 2023. Les prédictions sont basées sur les commentaires des professionnels de la sécurité d'entreprise et de DevSecOps au cours des 12 derniers mois et comprennent les éléments suivants :
1. La sécurité des applications et la sécurité du cloud vont converger :
Au cours des 12 prochains mois, davantage d'applications seront construites en utilisant une approche cloud native que l'architecture traditionnelle et monolithique. Les applications distribuées qui utilisent des conteneurs seront impactées par un nombre croissant de vulnérabilités qui couvrent les microservices et traversent la couche d'infrastructure.
La distinction entre la sécurité des applications et la sécurité du cloud s'est clairement estompée, car la sécurité des applications est désormais affectée par l'infrastructure cloud sous-jacente, tandis que les professionnels de la sécurité du cloud doivent désormais prendre en compte la couche applicative dans leur analyse des chemins d'attaque.
- Pour les professionnels de la sécurité des applications, cela signifie qu'ils doivent désormais apprendre à effectuer une analyse précise des applications natives du cloud, qui combine l'analyse du code, du conteneur, du cluster, du cloud et de leurs connexions et communications.
- Pour les professionnels de la sécurité du cloud, cela signifie qu'ils doivent trouver un moyen d'ajouter l'analyse de la couche applicative à leur posture de sécurité existante.
2. Le “Shift left” deviendra le “Shift everywhere”.
Au cours de la dernière décennie, les gens ont parlé de se déplacer vers la gauche. La vérité, c'est que plus ton analyse est statique, plus tu recevras un grand nombre de faux positifs, ainsi qu'une fatigue des alertes. Exécuter un outil SAST ne te dit pas réellement quel est le risque de ton application, mais seulement que tu as un tas de vulnérabilités, certaines réelles, d'autres non.
Il y a un réel besoin de lier l'analyse d'exécution aux signaux que tu obtiens de tes scanners statiques, afin de fournir des connaissances contextuelles sur ce qui se passe dans les applications. Une analyse intelligente qui combine les signaux dérivés de l'analyse statique avec les signaux que tu obtiens de l'analyse d'exécution (déplacement vers la droite) fournira une plus grande vérité sur les vulnérabilités de tes applications, et une véritable compréhension de la façon dont elles contribuent au risque global.
3. Une plus grande demande de la C-Suite pour une visibilité sur les contributions au risque des applications et des équipes qui les construisent.
L'époque où le plus grand défi pour l'équipe appsec était “Quelles sont les vulnérabilités de nos applications, et comment y remédier ?” va disparaître. Il sera remplacé par la nécessité d'établir et de communiquer des métriques sur la contribution au risque de chaque application, ainsi que la chaîne de responsabilité envers les équipes responsables de leur production et de leur sécurité.
Les dirigeants voudront savoir cela pour pouvoir allouer des ressources en conséquence afin de réduire leur exposition globale aux risques.
Cela obligera les équipes d'appsec à trouver des outils qui fournissent des profils de risque détaillés et haute fidélité pour chaque application au sein de leurs soins, qui incluent le ” score de risque ” de leurs applications (calculé à partir du total, du type et des niveaux de gravité des vulnérabilités laissées sans remédiation), le type de données que ces applications collectent, transfèrent et stockent, et le nombre d'enregistrements qui sont collectés, entre autres.
4. Il y aura une demande de données de priorisation plus claires, ce qui rendra le Vulnerability Exploitability Exchange (VEX) plus populaire.
La gestion des vulnérabilités consiste généralement à trier une montagne de bruit pour déterminer ce qui doit vraiment être corrigé et ce qui ne l'est pas, puis à hiérarchiser les efforts de correction. Les professionnels de l'Appsec exigeront davantage des fournisseurs d'outils qu'ils fournissent des données claires sur les niveaux de risque relatifs que présente chaque vulnérabilité, afin de ne pas avoir à deviner ce qu'il faut corriger et à affecter de précieuses ressources à des efforts manuels de hiérarchisation.
Ce changement nécessitera un format de données clair et cohérent pour communiquer les informations de hiérarchisation, qui soit lisible par machine pour permettre les automatisations et les intégrations. Le site Échange sur l'exploitabilité des vulnérabilités (VEX) deviendra de ce fait plus populaire.
5. La sécurité de la chaîne logistique logicielle aura enfin une définition claire.
Mais ce n'est pas une définition simple. Demande à 10 personnes différentes ce qu'est la sécurité de la chaîne logistique logicielle et tu obtiendras probablement 10 réponses différentes, dont certaines seront longues et confuses. Au fur et à mesure que la sécurité de la chaîne logistique logicielle fera l'objet d'un examen plus approfondi, une définition plus précise et cohérente émergera. Il ne s'agira probablement pas d'une définition simple en une phrase, mais de catégories clairement définies où chacun a ses propres définitions et exigences.
Les applications natives du cloud présentent un défi majeur pour les solutions traditionnelles de sécurité des applications pour plusieurs raisons.
Premièrement, la visibilité est plus limitée car les outils actuels n'ont tout simplement pas la capacité de voir de manière exhaustive ce qui se passe dans les applications distribuées. Ces outils ont été conçus pour analyser de grands blocs de code monolithiques, et leur approche consiste à traiter le code comme une grosse boîte. Utiliser la même approche sur des logiciels modernes entraîne encore plus de faux positifs et de vulnérabilités redondantes, ainsi que la possibilité de faux négatifs. Une infrastructure cloud mal configurée peut aussi avoir un impact considérable sur la gravité des vulnérabilités dans les applications, et c'est l'un des problèmes de sécurité cloud-native les plus urgents.
Si les applications modernes peuvent changer la donne en matière d'agilité commerciale, leur sécurisation présente de nouveaux défis et exigences qui amènent à se demander pourquoi nous continuons à utiliser des solutions de sécurité des applications traditionnelles pour sécuriser les logiciels modernes.
CLes applications loud-natives représentent un nouveau paradigme, et un changement correspondant dans notre façon d'aborder la sécurité des applications est nécessaire pour accompagner ce changement.
Dean Agron est PDG et cofondateur de Oxeye
Tu pourrais aussi lire :
:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.
- Individuel 5 £ par mois ou 50 £ par an. S'inscrire
