Nous devons repenser notre modèle de sécurité.

C’est un monde d’application. Cela commence à paraître banal et cliché, mais c’est toujours vrai. En matière de sécurité, cela signifie que notre attention doit commencer par l’application et se poursuivre jusqu’à l’utilisateur.

Mais ce n’est pas ainsi que nous construisons les architectures de sécurité aujourd’hui.

Aujourd’hui, nous construisons des architectures de sécurité en essayant de mettre en place un mur (pare-feu) impénétrable autour du périmètre. Au fur et à mesure que nous avançons vers l’application, les tranchées de sécurité que nous construisons sont de moins en moins granulaires jusqu’à ce que, enfin, nous arrivions à l’application et qu’il ne reste pratiquement plus rien. Notre sécurité la plus proche des applications est celle qui est la plus éloignée de l'application qu'elle doit protéger plutôt que l'inverse. Cela nous oblige à essayer d’évoluer massivement à la périphérie du réseau (où les appareils coûteux basés sur du matériel sont nécessaires pour prendre en charge la bande passante et la densité de ports nécessaires) plutôt que d’évoluer plus modestement plus près de l’application, où des logiciels moins chers et plus faciles à gérer et des « appareils » virtualisés pourraient être plus facilement mis en place.

Nous devons renverser cette architecture et refactoriser la sécurité pour mieux l’adapter aux modèles d’application et commerciaux actuels. 

Nous devons cesser d’essayer d’être « conscients des applications » au niveau du périmètre de l’entreprise afin de mieux faire évoluer et de tirer profit de l’infrastructure de sécurité.  Nous devons cesser d’être si agnostiques vis-à-vis des applications et commencer à déplacer tout cela vers la gauche, vers le développement et les opérations et un modèle logiciel qui évolue à la fois économiquement et architecturalement. Nous avons besoin d’une infrastructure de sécurité générique d’entreprise à la périphérie traditionnelle du réseau et d’une architecture de sécurité spécifique par application au nouveau périmètre : l’application.

C’est particulièrement vrai si l’on considère l’impact du cloud sur les applications . Pas sur le centre de données, mais sur les applications . Ce sont les applications que nous devons protéger, pas le réseau, et nous ne pouvons pas le faire si notre stratégie de sécurité repose sur un contrôle total sur le réseau (et sur ceux qui y accèdent). Nous devons réfléchir à la manière de protéger l'application, qu'elle se trouve ou non dans le centre de données, et élaborer une stratégie de sécurité basée sur cette base, plutôt que sur celle sur laquelle nous nous appuyions avant que le cloud ne perturbe le centre de données.

Considérez le tsunami à venir d’applications générées par l’Internet des objets et l’adoption d’architectures de microservices. Si chaque « nouvelle » technologie entraîne généralement une multiplication par 10 du nombre d’applications, alors combien d’applications deux « nouvelles » technologies simultanées généreront-elles ? Combien de nouvelles politiques de sécurité seront nécessaires à la périphérie du réseau pour prendre en charge chacune de ces applications ?

Ouais. Beaucoup. Un ordre ou deux de grandeur de plus que ce qu’il y a aujourd’hui.

Et si nous les déplacions vers la gauche (en termes de pipeline de déploiement ; à droite si vous regardez un diagramme de réseau traditionnel) et les déplacions vers un environnement plus déployé et défini par logiciel ? Et si nous faisions appel aux personnes qui développent et connaissent intimement les applications pour nous aider à élaborer les politiques qui les sécuriseront, puis les intégrions au processus de déploiement ? Dans le pipeline CI/CD ? Et si nous conditionnions les applications de la même manière, avec les mêmes services de sécurité dont elles ont besoin, qu'elles soient dans le cloud public ou sur site ? D'une manière ou d'une autre, avez-vous réussi à assurer une sécurité cohérente sur les infrastructures informatiques que 60 % des organisations considèrent comme le facteur le plus important pour la protection des environnements cloud [ Cloud Security Spotlight ] ?

Est-ce que cela serait à l'échelle ?  

Je suppose que oui, avec moins de perturbations et une plus grande facilité de gestion que le modèle actuel.

Le cloud est disruptif. La mobilité est disruptive. L’Internet des objets sera disruptif. Ce n’est pas toujours une mauvaise chose, surtout lorsque cela nous donne l’occasion de repenser et de réévaluer la manière dont nous déployons, livrons et sécurisons les applications.

Il est peut-être temps de revoir complètement notre modèle de sécurité et d’adopter l’application comme nouveau périmètre, afin de mieux faire évoluer la sécurité, de protéger les applications et de défendre le caractère sacré de nos données.