Vitesse vs. Sécurité: Protéger les applications et les API modernes au rythme des entreprises modernes

Le rythme des entreprises modernes crée un fossé entre la manière dont les applications sont développées et la manière dont elles sont protégées. En exploitant des infrastructures et des applications modernes, les entreprises peuvent mieux rivaliser et s’adapter plus rapidement. Toutefois, ils pourraient également mettre en danger la sécurité.

Des applications monolithiques aux microservices

Aujourd’hui, 98 % des organisations dépendent des applications pour gérer ou soutenir leur activité . Selon notre enquête la plus récente auprès de la communauté open source NGINX, le nombre d'applications créées avec des microservices est passé de 40 % en 2019 à 60 % en 2020, avec 54 % des entreprises utilisant des microservices dans certaines ou toutes leurs applications. D'ici 2022, on s'attend à ce que 90 % de toutes les nouvelles applications soient dotées d'architectures de microservices . Ces tendances soulignent non seulement l’importance des applications modernes pour les entreprises, mais également l’importance de la rapidité et de l’agilité lors de leur déploiement. 

Il est probable qu’un nombre croissant d’organisations évoluent dans le même sens, en migrant des anciennes applications monolithiques vers des technologies cloud natives tout en mettant en œuvre les principes DevOps. Et pour cause.

Les clients, les partenaires et les employés n’exigent pas seulement davantage de vos services technologiques : ils s’y attendent. Les marchés n’attendent pas que les entreprises s’adaptent. Ils les oublient tout simplement.

C’est pourquoi les entreprises sont obligées de prendre des mesures pour garantir que leurs applications offrent la meilleure expérience possible. Mais offrir ces expériences nécessite une approche différente du développement d’applications. Elle nécessite une approche plus rapide et plus itérative qui offre la flexibilité dont les entreprises ont besoin pour rester compétitives.

DevOps, les microservices et les conteneurs peuvent tous contribuer à offrir cette agilité applicative tant recherchée, en remaniant les approches désuètes au profit de méthodes de livraison modernes. Mais qu’en est-il d’autres considérations clés comme la protection de ces applications ? Les politiques de sécurité peuvent-elles suivre le rythme ?

Une nouvelle ligne de front dans la lutte contre les violations

Les pirates informatiques lancent en moyenne 2 244 attaques par jour. C'est une toutes les 39 secondes . Et un seul acte malveillant réussi est tout ce qu'il faut pour causer des ravages financiers et une mauvaise réputation à une entreprise, voire la détruire complètement. Cela peut paraître radical, mais ce sont les risques auxquels les organisations sont confrontées aujourd’hui. Le coût moyen d’une violation de données en 2020 s’élevait à 3,86 millions de dollars par entreprise. Et, en moyenne, seulement 5 % des applications du portefeuille d’une organisation ont tendance à être correctement protégées.

Ce qui est encore plus inquiétant, c’est la sophistication et l’ampleur des attaques. Les pirates ne ciblent plus uniquement le code. Alors que 40 % des attaques sur les applications Web proviennent d'API, un chiffre qui devrait atteindre 90 % en 2021 , des murs plus hauts n'offrent tout simplement pas la protection requise dans les environnements modernes. Combinez ce niveau de menace accru avec des cycles de publication plus rapides et plus fréquents, où les failles de sécurité peuvent facilement passer à travers les mailles du filet, et cela peut rapidement devenir une recette pour un désastre.

Équilibrer les besoins de sécurité avec la rapidité de livraison

Aucune organisation ne souhaite restreindre l’agilité ou limiter l’innovation. De même, les entreprises ne sont pas prêtes à mettre leurs données, ni celles de leurs clients, en danger. Néanmoins, à mesure que les exigences des entreprises modernes augmentent et que le développement d’applications modernes est nécessaire pour maintenir un avantage concurrentiel, les entreprises sont obligées de choisir entre les deux. Soit vous allez sur le marché rapidement et êtes potentiellement exposé, soit vous opérez lentement et en toute sécurité. Ça ne devrait pas être comme ça.

Alors qu’autrefois les politiques de sécurité étaient appliquées lors des dernières étapes d’une version, la vitesse des déploiements rend aujourd’hui cette opération presque impossible. Étant donné qu’il existe environ 500 développeurs de logiciels pour chaque professionnel de la sécurité , les chances ne sont pas en faveur de la protection des applications.

Par conséquent, la capacité à fournir une sécurité robuste et cohérente sur l’ensemble des architectures et infrastructures d’application est entravée, sans que la responsabilité ne soit imputée à personne en particulier. Les chefs d’entreprise comprennent l’importance de la sécurité, mais également la nécessité de commercialiser rapidement leurs applications. Les équipes DevOps ressentent souvent du ressentiment face au ralentissement du déploiement par SecOps. Pendant ce temps, SecOps déplore fréquemment le manque de contrôles de sécurité fournis par DevOps. En fait, 48 % des professionnels techniques considèrent la sécurité comme un obstacle majeur à la livraison rapide de logiciels.

À la recherche de la simplicité de sécurité

Il est clair que pour que les entreprises stimulent l’innovation et restent agiles, l’efficacité de l’automatisation DevOps et sa simplicité de « création unique, exécution partout » sont cruciales. Et si une approche « construire une fois, appliquer partout » pouvait être appliquée aux politiques de sécurité ? Pour avancer de manière agile et sécurisée, les entreprises doivent trouver un moyen d’intégrer la sécurité dans le cycle de vie d’une application, et non l’appliquer à la fin du développement ou tenter de la corriger avec des modules complémentaires. La sécurité et le développement d’applications ne doivent pas simplement coexister, mais devenir un.

Le meilleur des deux mondes

Alors, existe-t-il un moyen de réaliser l’utopie de DevSecOps ? Que signifierait la possibilité d'implémenter les politiques de sécurité des applications SecOps dans DevOps sans friction en termes de protection et de vitesse de publication ?

Le premier changement requis est celui de l’état d’esprit. La pensée à l’ancienne n’a pas sa place dans un environnement de développement d’applications moderne. Toutes les parties prenantes devraient adopter l’idée de sécuriser les applications, et non la considérer comme un obstacle à surmonter. Toutes les équipes doivent travailler dans la même direction et œuvrer vers un objectif commun : produire des applications sûres et de haute qualité, livrées rapidement.

La sécurité intégrée doit devenir un élément standard du processus de développement. La vitesse requise pour y parvenir peut être obtenue de plusieurs manières, la principale étant l’automatisation des politiques. Il est également nécessaire de disposer d’une solution de sécurité légère qui surmonte les limitations des pare-feu d’applications Web de type « case à cocher » . Il doit répondre aux véritables défis de sécurité auxquels sont confrontés les environnements DevOps modernes en offrant une sécurité évolutive et hautes performances avec des contrôles cohérents pour les applications Web, les microservices, les conteneurs et les API. Cela devrait déclencher moins de faux positifs et, surtout, cela doit être plus rapide que les autres solutions. Une telle solution doit être compatible CI/CD, gérer et automatiser de manière centralisée les contrôles de sécurité approuvés, afin de supprimer les goulots d'étranglement du flux de travail et de prendre en charge les initiatives de développement « shift left ». Elle doit également s’appuyer sur une organisation expérimentée et améliorer la visibilité tout en optimisant les performances.

Si tout cela peut être réalisé, les frictions entre DevOps et SecOps peuvent être éliminées, et la lutte entre déploiement rapide et sécurité devient un problème oublié. En combinant les bons outils avec une culture de développement véritablement collaborative , il est plus que jamais possible de fournir une protection puissante et cohérente qui s'adapte au rythme du développement d'applications modernes.