BLOG

Les principales conclusions du rapport F5 sur l’état de la fourniture d’applications en matière de sécurité

Miniature F5
F5
Publié le 29 juin 2017

Comme le savent les lecteurs fréquents du blog F5, nous avons publié la troisième édition du rapport State of Application Delivery (SOAD). Le rapport 2017 représente les résultats d'une enquête menée auprès de près de 2 200 dirigeants et professionnels de l'informatique et couvre tous les aspects de la distribution d'applications, y compris sur site, dans le cloud hybride et dans le cloud. Plusieurs conclusions du rapport portent sur la manière dont les personnes interrogées perçoivent l’environnement sécuritaire. Près d'un répondant sur cinq possède des titres liés à la sécurité, et dans cet article, nous nous concentrerons sur certains des éléments qui viennent en tête parmi leurs pairs.

Constatation : Il existe un manque d’expertise en matière de cloud et de sécurité.

Étonnamment, quatre répondants sur cinq adopteront des stratégies multi-cloud en 2017. Et l’un de ces cinq a déjà la moitié ou plus de ses applications dans le cloud ! Mais les organisations disposent-elles aujourd’hui de suffisamment d’experts en cloud pour gérer ne serait-ce qu’un seul cloud ? Je connais des gars qui sont experts en AWS et qui ne savent rien d’Azure, et vice versa.

Sans surprise pour quiconque lit ma chronique (ou celle de Jon Oltsik ), une organisation sur trois cite le déficit de compétences en matière de sécurité comme un défi de sécurité important. Nous ne formons tout simplement pas suffisamment de whitehats pour suivre le rythme de tous les blackhats qui se forment dans le monde entier. Il est possible que le déficit de compétences en matière de sécurité soit comblé par une combinaison magique d’apprentissage automatique et d’automatisation ; le DARPA Cyber Grand Challenge annoncé lors du DEF CON 24 pointe déjà dans cette direction. Mais en attendant, bravo pour la crédibilité de la sécurité dans la rue.

Exemple concret : le rapport SOAD a demandé aux répondants quels services d'application ils prévoyaient de déployer au cours des douze prochains mois, et la réponse numéro un, à 40 %, est la sécurité.

Constatation : Les déploiements de services d’application de sécurité deviennent plus sophistiqués.

Le rapport a demandé aux participants à l’enquête quelles étaient leurs stratégies pour vaincre les menaces émergentes, sécuriser leurs applications et protéger leurs données. La bonne nouvelle de cette année est que, en général, les organisations se sentent plus confiantes dans leur capacité à faire face à leurs principaux défis de sécurité que l’année dernière.

Dans tous les domaines de défis, à l’exception du déficit de compétences, les organisations se sentent légèrement moins effrayées. J'ai demandé à Lori MacVittie , l'une des auteures du rapport, pourquoi il en était ainsi : 

« Nous pensons que cela signifie qu’ils sont moins craintifs, en général. Nous supposons que cela pourrait être dû au fait que les budgets de sécurité ont augmenté, ce qui leur permet de mettre en place les solutions dont ils ont besoin pour relever leurs défis. Ce n’est pas dans le rapport public, mais le « budget trop petit » en tant que défi de sécurité est passé de 41 % en 2016 à 30 % en 2017, d’où notre supposition.

À l’échelle mondiale, les organisations les plus confiantes dans leur capacité à résister à une attaque ont élargi leur approche de la sécurité au-delà d’une simple approche périmétrique. Beaucoup prévoient de déployer une atténuation des attaques DDoS (21 %), une protection DNSSEC (25 %) et un pare-feu d’application Web (20 %) au cours de l’année prochaine.

Constatation : La pire chose sans laquelle je pourrais déployer une application est…

Chaque année, l'enquête SOAD demande aux participants quelle est, selon eux, la pire chose sans laquelle ils pourraient déployer une application. 

La sécurité occupe la première place, avec une marge encore plus grande qu'il y a un an. En 2016, la disponibilité a pris le pas sur la sécurité. Peut-être que les organisations prennent enfin conscience qu’une violation peut avoir un effet négatif bien plus durable qu’une panne. Le bruit constant des violations est probablement à l’origine de cette prise de conscience. C’est une bonne chose.

La réponse la plus courante à la sécurité des applications est, bien sûr, le pare-feu d’application Web (WAF). Plus de la moitié des répondants « cloud-first » déclarent avoir déployé un WAF. Ce n’est pas trop surprenant, même si cela nous amène à nous demander ce que font les 48 % restants…

 Rapport sur l'état de la mise à disposition des applications 2017

Les téléspectateurs intéressés peuvent trouver le rapport complet sur l’état de la distribution des applications en 2017 ici .