Ce que l’informatique hybride signifie pour la sécurité des applications et des API
Pendant des années, l’industrie a contourné les réalités – et les défis qui en découlent – de l’informatique hybride en l’appelant multi-cloud.
Cela ne veut pas dire que les organisations n’opèrent pas dans plusieurs clouds ; elles le font très certainement. Mais il faut dire que le terme ne parvient pas à rendre pleinement compte du fait que le « cloud » est un modèle opérationnel qui n’est pas seulement propre aux fournisseurs publics d’infrastructures en tant que service. En effet, nos données ont montré, année après année, que les organisations exploitent un cloud sur site, tout en adoptant ses versions publiques.
Mais même cela ignore la réalité de l’informatique hybride, qui est sous notre nez depuis que le cloud est apparu et a pris d’assaut les entreprises. Jeu de mots intentionnel. Car même si les entreprises ont adopté le cloud, la plupart d’entre elles étaient encore confrontées à des environnements locaux traditionnels. Parce que la plupart des entreprises ne sont pas nouvelles ; elles existent depuis vingt, trente, voire cinquante ans. Cela signifie qu’ils disposent d’un portefeuille établi qui couvre toutes les générations d’architectures d’applications majeures, des monolithes aux microservices, du client-serveur au mobile.
Pour l’étude annuelle de cette année, nous nous sommes concentrés spécifiquement sur les environnements sur site, car nous voulions comprendre les réalités auxquelles nos clients sont confrontés. Les données parlent d’elles-mêmes : les entreprises ont été et continuent d’être hybrides.
Ce rapport ne se résume pas uniquement à des recherches. Lorsque F5 NGINX a interrogé sa communauté open source , devinez ce qu'il a trouvé (parmi d'autres éléments intéressants) ? Oui, cet hybride est là pour rester.
Maintenant, sans dévoiler toutes les conclusions de notre prochain rapport sur l’état de la stratégie application , je dirai que la tendance vers les applications modernes est forte, mais certains éléments indiquent que certaines organisations ne se lanceront jamais « à fond » dans le remplacement des applications traditionnelles par des versions plus modernes.
Par conséquent, les entreprises resteront hybrides pendant de nombreuses années encore.
Mais cela nous amène à nous demander : qu’est-ce que cela signifie pour la sécurité ? En particulier, pour la sécurité des applications et des API ?
Les implications pour la sécurité des applications et des API
Si nous partons du principe que les organisations sont hybrides dans leur essence (portefeuille d’applications) ainsi que dans leurs environnements opérationnels, alors les implications pour la sécurité des applications et des API sont assez profondes.
C'est parce que certains environnements application , comme les conteneurs, ont des besoins de sécurité uniques qui ne peuvent pas être satisfaits par les solutions de sécurité traditionnelles. Cela signifie également que, les applications restant sur site, les organisations auront du mal à trouver des solutions de sécurité cohérentes capables de couvrir les déploiements de base, de cloud et de périphérie des charges de travail des application . Mais attendez, il y a plus ! Car cela signifie également que le besoin de solutions traditionnelles existantes ne disparaît pas simplement, en particulier celles qui se concentrent sur la protection des applications et des API contre les abus et l’exploitation des protocoles.
Malheureusement pour les organisations, l’informatique hybride n’implique pas – et ne peut pas impliquer – une sécurité hybride.
Par sécurité hybride, j'entends mélanger les services de sécurité des applications et des API d'un fournisseur avec un autre, puis avec un autre et encore avec un autre. Bien que le transfert de la sécurité vers le cycle de vie de l’application semble être une excellente solution, cela conduit trop souvent au chemin de moindre résistance : une multitude de services de sécurité d’applications et d’API incompatibles qui compliquent et contrecarrent les efforts visant à sécuriser toutes les applications et API.
Nous constatons déjà l’impact de la complexité des outils cloud et des API sur les organisations, dans l’incapacité d’appliquer systématiquement la sécurité à toutes les applications. Une approche à la carte et mixte de la sécurité des applications et des API ne fonctionne pas pour la plupart des organisations, comme le montre l’augmentation substantielle des violations au cours de l’année écoulée attribuées aux vulnérabilités et aux exploits des applications et des API.
La réalité de l’informatique hybride en matière de sécurité est que l’approche patchwork à la carte pour sécuriser les applications et les API ne fonctionnera pas à long terme. Nous avons besoin d’une meilleure approche, qui doit reconnaître que l’informatique et l’entreprise sont, et seront dans un avenir prévisible, hybrides.