Bien entendu, les applications sont essentielles au fonctionnement de votre entreprise. Bien exécutés, ils peuvent rendre presque n’importe quelle tâche ou processus plus rapide et plus facile. Mais peut-on avoir trop d’une bonne chose ? Apparemment oui. Les professionnels des opérations informatiques ont du mal à suivre l’évolution constante des architectures application , des plates-formes et des normes technologiques modernes. Par conséquent, la sécurité, la visibilité et la conformité des applications deviennent de plus en plus préoccupantes.
C’est certainement ce qu’a constaté une importante compagnie de transport maritime. Même à une époque où la prolifération des applications n'était pas encore reconnue comme un problème, ce géant des services de transport et de bureau a évalué son portefeuille application et s'est rendu compte qu'il comptait plus de 2 600 applications, conséquence à la fois d'une campagne d'acquisition massive et d'une croissance rapide. Tout aussi inquiétant, il a identifié plus de 14 000 interfaces personnalisées pour ces applications. La surface de menace pour tant applications représente un risque énorme pour toute entreprise qui doit y faire face seule, et ce n'est qu'un des nombreux risques importants qui accompagnent ce type de prolifération application .
Les applications peuvent désormais passer de l’idée initiale à la preuve de concept en quelques semaines grâce à un environnement de développement d’applications extrêmement fertile. L’une des conséquences de cette vitesse est que la responsabilité des décisions de développement et de déploiement d’applications, y compris celles qui ont un impact sur la sécurité et la conformité, s’est déplacée vers les développeurs et s’est éloignée des professionnels du réseau et de la sécurité. Bien que cela soit formidable en termes de rapidité (libération de la capacité d’innovation latente et amélioration de la position concurrentielle des organisations), des menaces de sécurité importantes, des exigences de conformité et des préoccupations opérationnelles demeurent.
Les nouveaux acteurs privilégient les options cloud natives et open source à faible coût plutôt que des solutions plus robustes gérées par des experts du domaine. Cela découle d’une préoccupation légitime selon laquelle la dépendance vis-à-vis d’autres équipes pourrait introduire des frictions dans le processus, ralentissant ainsi le rythme de l’innovation. Cependant, les problèmes courants liés à cette approche incluent la prolifération des outils de sécurité et de gestion, le manque de visibilité sur les performances des application et les défis importants liés au respect des obligations de conformité réglementaire.
Selon notre rapport 2019 sur l'état des services application , environ 87 % des entreprises utilisent des déploiements multicloud. Il existe une tendance à utiliser tous les outils disponibles auprès du fournisseur de cloud. Cela signifie utiliser plusieurs interfaces natives pour résoudre essentiellement le même problème, ce qui entraîne des problèmes avec différentes capacités, politiques et interfaces de gestion, augmentant ainsi les risques pour l'entreprise.
Ajoutez à cela non seulement le nombre considérable d’applications que les organisations gèrent, mais également la complexité de ces applications, et vous obtenez une plus grande surface de menace (ou zone de vulnérabilité de sécurité) à laquelle les entreprises comme la vôtre sont confrontées. Aujourd'hui, vous devez gérer différents frameworks Web tels que Node.js et HTML5, entre autres, ainsi que des serveurs application et Web. Différents navigateurs ont accès à différentes applications. À chaque niveau de complexité ajouté, il y a davantage de vulnérabilités et davantage de risques à gérer.
Alors comment gérer ce risque ? En changeant votre concentration.
Nous avons toujours été soucieux de sécuriser le réseau. Mais il est temps de se concentrer également sur la sécurité des application . Les pare-feu application Web, en particulier, sont un moyen courant de gérer la sécurité des application . C’est parce que les méchants ciblent plus que le réseau. Après tout, même avec un réseau sécurisé, s'il y a une faille dans une application, ils y sont.
Prenons encore une fois l’exemple de cette compagnie maritime. N’importe qui dans le monde peut accéder au site Web pour ses besoins d’expédition. Cela représente des milliards de personnes. Même si le réseau est complètement verrouillé, l’ application pourrait être la porte d’entrée, puisque n’importe qui est autorisé à l’utiliser. Ainsi, leur plus grand risque résiderait dans cette application, et non dans son réseau soigneusement protégé. Pour de nombreuses entreprises, l’ application constitue actuellement le maillon le plus faible. Et les hackers le savent.
Ce que vous devez faire, c’est créer des services application standardisés qui peuvent être fédérés à l’échelle mondiale sans entraver l’innovation des équipes de développeurs décentralisées. Adoptez et activez l’automatisation pour garantir que la sécurité est intégrée, avec des politiques de sécurité définies et gérées par des experts dans leur domaine et stockées sous forme d’artefacts dans des référentiels de code source pour une utilisation dans les pipelines d’automatisation CI/CD plutôt que codées en dur ou configurées manuellement après coup. Pour accélérer encore (et en toute sécurité) la mise sur le marché des application , il est essentiel de coder uniquement ce qui est nécessaire et de tirer parti des services d'infrastructure réutilisables, tels que l'authentification et les pare-feu application Web.
En mars 2019, plus de 2,1 millions d'applications étaient disponibles pour les utilisateurs d'Android. L’App Store d’Apple
propose plus de 1,8 million d'applications. Et cela ne compte pas les millions d’ applications d’entreprise qui ont été développées et déployées. Au total, nous parlons probablement de plus d’un milliard applications en cours d’utilisation dans le monde aujourd’hui.
Vous voulez connaître un secret choquant ? La plupart des organisations ne peuvent pas vous dire ce qui se passe avec leurs applications à un moment donné. Ils ne savent pas combien d’applications ils possèdent, et encore moins où se trouvent ces applications ou qui y a accès. Même pour les applications les plus importantes, les organisations ont rarement une visibilité cohérente sur les performances de ces applications (par exemple, la disponibilité, la latence de l'utilisateur final) ou sur l'endroit où chercher en cas de problème.
Quelle que soit votre stratégie, l’objectif doit être de déterminer comment déployer et gérer les applications de manière cohérente dans tous vos différents silos d’infrastructure. La meilleure façon d’y parvenir (et d’obtenir une visibilité sur les chemins d’accès à toutes vos applications) est d’exploiter un ensemble cohérent de services application multicloud. Des outils communs vous aideront à réduire les risques, à augmenter la répétabilité et à réduire les défauts en réutilisant des services cohérents dans la mesure du possible, en particulier dans les architectures multicloud. Lorsqu'ils sont déployés sur l'ensemble de votre paysage applicatif, ces services cohérents doivent permettre une inspection complète de tout le trafic via le chemin des données, garantissant ainsi un dépannage facile en cas de problème et l'interception et le blocage du trafic malveillant.
Cette cohérence et la visibilité que cette approche permet contribuent également à réduire les frictions entre les différentes équipes opérationnelles qui doivent collaborer pour maintenir les applications performantes et sécurisées.
De nos jours, de nombreuses organisations, en particulier celles qui exploitent des applications sur plusieurs clouds (comme la grande majorité des organisations le font ou prévoient de le faire), sont confrontées à des défis importants pour répondre aux exigences de conformité réglementaire.
Comme de nombreuses villes modernes, les besoins numériques de la ville de Bellevue ont considérablement augmenté. Il y a dix ans, seule une poignée de techniciens utilisaient son VPN pour accéder aux systèmes à distance. Aujourd’hui, les 1 600 employés sont habilités à travailler à distance. Pour la police de la ville, permettre l'accès aux données sensibles sur les antécédents criminels signifie que les systèmes doivent se conformer à des directives fédérales strictes, notamment la politique de sécurité des services d'information sur la justice pénale (CJIS) fédéraux et la norme fédérale de traitement de l'information (FIPS) associée. La conformité aux normes CJIS et FIPS est assurée par un audit fédéral annuel. Sans respecter la norme, la police est limitée dans les informations auxquelles elle peut accéder sur le terrain. En fin de compte, la ville avait besoin de pouvoir fournir un accès sécurisé et conforme à tous les services municipaux.
La solution ? Sans vouloir me répéter, nous revenons à la cohérence. Des politiques de sécurité cohérentes et vérifiables intégrées au pipeline CI/CD simplifient la conformité, s'attaquant à un obstacle majeur qui ralentit l'adoption des pratiques et des outils DevOps.
Lorsque des applications sont créées et déployées, le flux de travail CI/CD garantit qu'elles sont déployées de manière protégée et conforme à chaque fois.
Il ne fait aucun doute que les applications prolifèrent. Certains professionnels de l’informatique peuvent utiliser les termes « informatique fantôme » ou « informatique malveillante », car bon nombre de ces applications sont introduites dans l’organisation par les utilisateurs professionnels plutôt que par le service informatique. Mais les mots désobligeants ne répondent pas aux problèmes qui surviennent lorsque les utilisateurs professionnels prennent en charge l'acquisition (ou la création) applications . Considérez-le plutôt comme une informatique dirigée par l’entreprise, comme un partenariat entre les utilisateurs professionnels et l’informatique pour tenter de faire le meilleur travail possible pour atteindre la mission de l’entreprise.
La prolifération des application nécessite un contrôle cohérent, automatisable et centralisé. Il est courant aujourd’hui pour les entreprises d’avoir leurs ressources application dispersées sur différentes plateformes. Dans le nuage. Dans leurs centres de données privés. Sur place. Dans divers environnements SaaS. Les entreprises commencent à avoir une vue unique sur l’ensemble de leur portefeuille application . Avec ce type de contrôle, les risques deviennent beaucoup plus faciles à gérer.
Le portefeuille de services application complet et la plate-forme omniprésente de F5 permettent aux organisations de centraliser et de gérer des services de sécurité et d'infrastructure de niveau entreprise auditables dans divers environnements, réduisant ainsi le coût du changement et permettant aux développeurs de se concentrer sur l'innovation.