A l’heure de la transformation numérique, le secteur de la sécurité doit lui-aussi effectuer sa révolution et évoluer vers plus d’agilité. Security as a Service, DevSecOps et architectures Software-Defined sont les nouveaux mots d’ordre.
L’époque où les développeurs devaient attendre plusieurs semaines l’ouverture d’un port de firewall pour une nouvelle application s’achève. Aujourd’hui, les entreprises doivent lancer le plus rapidement possible de nouvelles applications mobiles pour leurs clients ou leurs employés, et les faire évoluer en mode itératif. La cybersécurité telle qu’elle a été conçue au début des années 2000 doit elle aussi évoluer. En termes d’organisation, l’agilité est la règle et les développeurs et exploitants sont de plus en plus fréquemment organisés en équipes DevOps. La cybersécurité doit désormais s’intégrer à ce mouvement pour aller vers ce que certains nomment le DevSecOps. « Des acteurs tels que nous qui comptent aujourd’hui 5 % à 10 % de développeurs dans leurs équipes informatiques vont voir ce taux monter à 35 % / 45 % dans les prochaines années » explique Khaled Souani, IT infrastructure COO de la Société Générale. « Les compétences doivent évoluer pour que tous aient un vernis cybersécurité. On doit passer du monde du château fort à celui où l’on sécurise les applications et les données, ce qui implique de repenser les architectures et l’urbanisation des infrastructures. »
Le Software-Defined apporte une réponse au besoin d’agilité de la sécurité
Dans un tel contexte, il faut revoir la façon dont sont provisionnés les éléments de sécurité, et de nombreux acteurs du marché poussent en faveur d’une approche « Software-Defined », une approche où les composants de sécurité sont pilotés par API au fil des besoins. Christophe Sarrazin, consultant cybersécurité chez Cisco, fait un point d’étape : « La première étape a été d’intégrer des API dans nos produits réseau, infrastructure et cybersécurité. Aujourd’hui, toute notre architecture datacenter s’appuie sur ACI (Application Centric Infrastructure) et peut être pilotée par notre orchestrateur APIC. L’idée, c’est de pouvoir insérer des services de manière simplifiée et activer un service dans le datacenter sans avoir à solliciter l’équipe qui monte les VM, celle qui doit créer les VLAN, l’équipe de sécurité qui doit ouvrir les firewalls, etc. » Cisco tend à offrir des API sur tous ses produits afin que ceux-ci puissent être pilotés via les orchestrateurs du marché, une approche suivie par d’autres équipementiers réseau. C’est notamment le cas de Juniper, qui a placé cette approche Software-Defined au cœur de sa stratégie. « Le réseau doit devenir le pivot central de la sécurité de demain » explique Kevin Walker, CTO sécurité de Juniper. « La prochaine génération n’est pas un simple système, mais une collection de nœuds. Jusqu’à aujourd’hui, les CISO ont été poussés à ajouter continuellement de nouvelles briques de sécurité au-dessus de leurs firewalls. C’est une approche qui n’est tout simplement plus viable. Il faut aujourd’hui mettre en œuvre une sécurité de nouvelle génération basée sur les concepts du Software-Defined Secure Network.»
« Le réseau doit devenir le pivot central de la sécurité. »
Kevin Walker, Juniper
Tous les composants de sécurité doivent maintenant offrir des API
Outre ces équipementiers, les spécialistes de solutions de sécurité cherchent, eux aussi, à prendre ce train du Software-Defined, à l’image de Fortinet. Christophe Auberger, directeur technique de Fortinet explique une stratégie qui consiste à s’intégrer à la plateforme VMware : « Aujourd’hui, le Software-Defined va dans le sens de l’histoire. Nous sommes totalement intégrés à NSX et nous offrons une interaction complète avec VMware dont on provisionne des ressources de compute pour déployer les firewalls, mais aussi les règles de sécurité, l’objectif étant de fluidifier le process et déployer ces règles en vertu du PSSI imaginé au départ. On définit qui doit communiquer avec qui et toute la partie génération de règles de sécurité est générée automatiquement. »
Cette automatisation de la sécurité intéresse les entreprises, mais aller vers cette approche Software-Defined impose de franchir un cap significatif. Arnaud Cassagne, directeur des opérations chez l’intégrateur Newlode souligne : « Sur le volet automatisation, les API sont bien là, les orchestrateurs sont là mais, malheureusement pour beaucoup de nos clients, c’est une approche longue à mettre en place alors que nos clients ont des projets à déployer en un minimum de temps. C’est une erreur, il faut prendre le temps d’instrumentaliser une plateforme, d’automatiser, car c’est du temps à donner aux équipes. » Actuellement, DevSecOps reste encore l’objectif à atteindre et si les entreprises françaises sont de plus en plus nombreuses à avoir monté des équipes DevOps, rares sont ces dernières à avoir intégré une composante cybersécurité.
Pour Khaled Souani, IT infrastructure COO de la Société Générale, ici aux Assises de la Sécurité 2017, il faut repenser les architectures et l’urbanisation des infrastructures.