BLOG | BUREAU DU CTO

État de la stratégie application 2022 : La sécurité passe à l’identité

Miniature de Lori MacVittie
Lori MacVittie
Publié le 6 juin 2022


Au cours des huit années écoulées depuis le lancement de l'étude annuelle qui allait devenir le rapport sur l'état de la stratégie application , nous avons constaté la montée constante de la sécurité au sommet de la pile des services de sécurité et de distribution des applications.

La disponibilité en tant que catégorie générale, comprenant des technologies telles que l'équilibrage de charge, la mise en cache et les CDN, a conservé la plus haute priorité pendant à peu près aussi longtemps qu'il a fallu à un serveur Web nouvellement lancé pour survivre sans être inquiété sur Internet en 2003. Ce qui, pour ceux qui ne le savaient pas, n’était pas très long.

La sécurité a presque immédiatement atteint le sommet de la hiérarchie et y est restée sans contestation depuis 2017 environ.

Jusqu'à maintenant.

Cette année, pour la première fois, nous avons vu un service de sécurité non essentiel se hisser au sommet des « services les plus déployés ». Ce service est l'identité .

Déploiement de tous les services de sécurité et de livraison

Mais ce n’est pas seulement l’identité et l’accès qui sont devenus les technologies les plus déployées. Nos recherches ont fourni de nombreuses preuves qui indiquent une évolution significative vers une sécurité basée sur l’identité.

Pensez à la sécurité des API. Oui, les gens le déploient. Mais nous avons creusé dans les détails et posé des questions sur les types spécifiques de protections que les répondants considéraient comme utiles. Nous les avons regroupés en trois catégories :

  1. Traditionnel. Ces protections dérivent en grande partie des protections Web incluses dans les pare-feu application Web depuis des années. Limitation de débit, OWASP Top Ten et bien sûr cryptage/décryptage.
  2. Moderne. Ces protections sont apparues au cours des dernières années et sont devenues une source importante de sécurité pour les API. Ce groupe comprend l'inspection de la charge utile (contenu), comme la recherche de logiciels malveillants et de contenu malveillant, ainsi que l'authentification/autorisation. Spoiler : c'est la partie identité.
  3. Adaptatif. Les protections adaptatives sont une nouvelle catégorie, alimentée par la capacité à exploiter l’IA et l’apprentissage automatique pour effectuer des analyses comportementales capables de différencier les utilisateurs humains et non humains. Ces techniques tendent à constituer la base des services de lutte contre la fraude et la protection contre les robots.

Nous avons demandé aux répondants quelles étaient les protections les plus « précieuses » dans cette liste. Les résultats ont montré un haut degré de sophistication de la sécurité, en particulier parmi ceux qui avaient réellement mis en œuvre des protections API au cours de l’année écoulée. Comme pour le déploiement de services, l’identité figurait en tête de liste des protections les plus précieuses pour les API.

Les protections d'API les plus précieuses

La valeur accordée aux méthodes adaptatives est prometteuse. Cela n’est pas entièrement surprenant étant donné l’adoption enthousiaste de l’IA et de l’apprentissage automatique pour alimenter les services de sécurité. Compte tenu du volume de données et de l’impact d’une attaque manquée, il n’est pas surprenant que l’ensemble du secteur se tourne vers des méthodes de sécurité plus avancées et adaptatives pour protéger tout, de l’infrastructure aux applications en passant par l’entreprise elle-même.

L’analyse de l’identité et du comportement sont des éléments importants d’une stratégie de sécurité globale, en particulier pour les API, étant donné le rôle de plus en plus important qu’elles jouent dans l’économie numérique. L’inspection reste également essentielle, car de nombreuses attaques, en particulier les logiciels malveillants et le contenu malveillant, sont souvent facilement identifiées par une signature unique qui peut être comparée à la charge utile d’une transaction API. La rapidité d’identification est aussi importante que la confiance dans l’identification d’une éventuelle attaque, et l’inspection reste une méthode rapide et fiable pour identifier le contenu malveillant.

Enfin, nous constatons un déploiement de technologies liées à l’identité en raison de la transformation numérique accélérée par la COVID. Nous avons demandé aux répondants quels types de changements ont été apportés à leurs stratégies de sécurité après la COVID-19. Plus d'un quart (26 %) ont mis en œuvre une solution de « credential stuffing » et 34 % ont mis en œuvre des cadres de sécurité API.

Ce premier chiffre est celui qui concerne ce sujet, car le « credential stuffing » vise à protéger l’identité (les informations d’identification) des personnes dans un monde numérique. Compte tenu de l’augmentation incroyable des options numériques pour tous les types d’entreprises au cours de la pandémie, il est encourageant de voir qu’au moins certains prennent au sérieux leur responsabilité de protéger l’identité.

Il s’agit d’une tendance relativement rapide en matière de sécurité, et nous prévoyons qu’elle continuera à devenir plus répandue à mesure que les organisations étendent leur présence dans l’économie numérique. L’importance des API laisse présager la nécessité d’identifier plus précisément « l’utilisateur » des API, en particulier avec l’importance croissante des API dans l’automatisation, les architectures application cloud natives, les écosystèmes numériques et, bien sûr, l’IoT. La protection des API dans une économie numérique n’est pas seulement une préoccupation technologique, mais également une préoccupation commerciale.

Mais cette tendance indique également à quel point l’identité est importante dans un monde numérique, et pourquoi il n’est que quelque peu surprenant de voir les services liés à l’identité atteindre le sommet des technologies de sécurité et de distribution application les plus déployées en 2022.

Ce changement vers l’identité révélé par nos recherches est également significatif dans la mesure où le marché adopte le principe de confiance zéro comme approche fondamentale de la sécurité. Le Zero Trust a été cité par 40 % des répondants comme la tendance ou la technologie la plus « enthousiasmante ». En tant que modèle architectural, Zero Trust se concentre sur la sécurisation et la protection des applications et des infrastructures en concevant des réseaux avec des micro-périmètres sécurisés et en limitant les risques en restreignant les privilèges et l'accès des utilisateurs.

Au cœur du Zero Trust se trouve une question simple : qui devrait avoir accès à une ressource ? Bien qu'il y ait certainement beaucoup plus à faire pour répondre à cette question et appliquer les politiques qui en découlent au niveau du cœur, du cloud et de la périphérie, sans identité, toute l'approche s'effondre.

Il reste à voir si l’identité restera une priorité, mais étant donné que les tendances émergentes comme le Web3 mettent également fortement l’accent sur l’identité en tant que construction fondamentale, nous pensons qu’il est probable que le glissement de la sécurité vers l’identité ne fait que commencer.

Consultez des blogs supplémentaires pour des analyses plus approfondies sur certains sujets :

État de la stratégie d'application 2022 : Déballage de 8 années de tendances ›

État de la stratégie application 2022 : Les charges de travail Edge s'étendent aux applications et aux données ›

État de la stratégie d'application 2022 : Les innovateurs numériques soulignent l’importance de la modernisation ›

État de la stratégie d'application 2022 : La complexité du multi-cloud perdure ›

État de la stratégie d'application 2022 : Tendances de performance ›

État de la stratégie d'application 2022 : Il est temps de moderniser les opérations ›

État de la stratégie d'application 2022 : L’avenir des entreprises est adaptatif ›