État de la mise en œuvre des application 2018 : La sécurité dans le cloud, oui ! La confiance, pas tellement.

La transformation numérique est une fonction contraignante, encourageant l’automatisation et l’orchestration dans l’ensemble de l’informatique et poussant les organisations à prendre la décision de fournir des applications à partir du cloud public.

En fait, la transformation numérique imprègne tellement l’informatique que presque tous les aspects de nos données sur l’état de la distribution des application 2018 ont montré des signes d’impact. Y compris la sécurité.

Cet impact est évident lorsque nous commençons à examiner la relation entre la confiance et le cloud, ainsi que la volonté de déployer les services application qui assurent la sécurité des applications, où qu’elles se trouvent.

Pour être juste, en général, la confiance a eu tendance à baisser au cours des quatre années pendant lesquelles nous avons mené cette enquête.

En 2015, près de la moitié des organisations (49 %) avaient une grande confiance dans la capacité de leur organisation à résister à une attaque au niveau de la couche application .

Cette année, nous avons constaté une baisse à 41 %. À l’inverse, le pourcentage relativement faible de répondants ayant une faible confiance en 2015 – seulement 8 % – a plus que doublé pour atteindre 17 % en 2018.

Les partisans de la thèse selon laquelle « nous ne sommes ni confiants ni en manque de confiance » sont restés largement statiques.

Ce qui rend cette statistique encore plus déconcertante est la perte de confiance dès l’introduction du cloud public.

Il existe une différence significative entre les répondants ayant une grande confiance dans leur capacité à protéger leurs applications sur site (59 %) et dans le cloud public (37 %). Le faible niveau de confiance montre la même relation : moins de répondants ont un faible niveau de confiance à l’égard des solutions sur site (14 %) par rapport au cloud public (25 %).

Il serait facile de rejeter la faute sur le cloud, mais fondamentalement, la majorité des environnements de cloud public ont peu ou pas d’impact sur la sécurité des application . Certes, la sécurité des infrastructures et du réseau est un facteur qui peut conduire à la compromission d'une application, mais dans la plupart des cas, la protection des applications , quel que soit leur emplacement, repose entièrement sur les épaules de leur propriétaire. Nous avons donc examiné d’autres facteurs tels que les technologies et les services application que les organisations déploient dans les deux environnements pour protéger et défendre les applications. Ce n’était peut-être pas l’emplacement mais une différence dans l’approche pour les protéger.

Nous avons constaté que la majorité utilise trois services application différents pour protéger et défendre les applications: pare-feu réseau (83 %), contrôle d'accès aux application (75 %) et pare-feu application Web (57 %). Un peu plus d’un sur quatre (26 %) utilise également l’analyse comportementale des utilisateurs.

Il s'agit d'un bon mélange de services application : surveillance du réseau, contrôle de l'accès et filtrage/nettoyage du contenu malveillant. Il est donc possible que l’utilisation (ou le manque d’utilisation) de ces services ait contribué à la baisse du niveau de confiance.

Ce que nous avons découvert, c'est que oui, les services application sur lesquels vous comptez pour protéger les applications contre les attaques ont un impact positif sur la confiance nécessaire pour résister à une attaque.

Dans le cas des trois premiers, les gains de confiance de ceux qui ont utilisé le service ont été considérablement positifs. Nous avons ensuite examiné l’impact de ces mêmes déploiements de services dans le contexte du cloud public par rapport au cloud sur site.

Deux choses ressortent de cette comparaison : de toute évidence, ceux qui utilisent des services application sont bien plus confiants que leurs homologues qui renoncent à leurs précieuses protections.

Le deuxième problème réside dans les légères différences (environ 3 % de manière constante) en termes de confiance entre le cloud local et le cloud public, mais pas suffisamment pour expliquer l’écart important entre les niveaux de confiance généraux pour protéger les applications dans les différents environnements. On en conclut alors que l’environnement (cloud) est un facteur contribuant à la diminution de la confiance en matière de résistance aux attaques de la couche application .

La raison en est peut-être la résurgence de la complexité des solutions de sécurité comme l’un des principaux défis de sécurité pour 2018. Le défi avait diminué – sortant du top 3 en 2017 avec seulement 30 % des personnes le considérant comme un défi majeur – mais il a remonté la pente cette année avec 34 % des personnes interrogées pour reprendre sa place. Le cloud introduit nécessairement une partie de cette complexité, avec une gamme vertigineuse de services et d’API étrangers. Le cloud n’est pas un environnement traditionnel et l’adaptation à de nouvelles architectures et de nouveaux services contribue à la complexité. À cela s’ajoute la réalité selon laquelle les services application dans le cloud peuvent ou non atteindre la parité avec la protection offerte par les services sur site.

Par exemple, un service de pare-feu application Web de base d’un fournisseur de cloud peut ne pas offrir la même robustesse de protection qu’un service de pare-feu application Web sur site. La différence de capacités pourrait être un facteur contribuant à la confiance. Comme nous n'avons pas cherché à savoir si les services application sur site étaient les mêmes que ceux du cloud public, nous ne pouvons pas définitivement pointer du doigt les différences de capacités comme source de baisse de confiance, mais cela semble être l'un des nombreux coupables probables.

La sécurité se déplace certainement vers le cloud, tout comme les applications qu’elle s’efforce de protéger, mais la confiance nécessaire pour le faire ne se fait pas sentir.

Et avec cela, nous concluons notre série initiale sur l’état de la distribution des application en 2018. Pour plus d'informations sur la transformation numérique , le multicloud , les services application , la sécurité, l'automatisation et la transformation continue de NetOps , n'hésitez pas à récupérer votre propre exemplaire de notre rapport 2018 sur l'état de la livraison des application et à nous suivre sur Twitter avec @f5networks et/ou le hashtag #soad18 .