Par Bernard Montel, Technical Director EMEA et Security Strategist chez Tenable
Face à tous les avantages que représentent les infrastructures dans le cloud, la sécurité ne doit pas être oubliée. Dernière évolution de la logique d’extrême simplification portée par le cloud, l’Infrastructure as Code (IaC), permet aux entreprises de s’affranchir des longues phase de paramétrage et de provisionnement des infrastructures, on premise et dans le cloud. Mieux, le IaC peut aussi jouer un rôle prépondérant dans la sécurisation du cloud. Un atout indéniable au regard des 40 milliards d’enregistrements qui ont été exposés à la suite de violations de données basées sur le cloud en 2021.
La gestion de l’infrastructure informatique est un processus complexe. Elle exige l’installation physique des serveurs, leur configuration, puis le déploiement de l’application. Ce processus manuel fastidieux entraîne souvent de nombreuses erreurs, nuit à l’agilité et s’avère coûteux pour les entreprises qui dépensent une fortune chaque année pour construire et entretenir d’énormes datacenters et embaucher une pléthore d’ingénieurs et d’autres employés pour approvisionner manuellement l’infrastructure.
C’est pour accélérer et alléger ces processus que le cloud computing a été introduit, fournissant aux entreprises une nouvelle approche flexible et évolutive. Son utilisation a été renforcée par l’évolution du travail à distance dans le contexte de la pandémie de COVID-19. D’après une étude réalisée par Nutanix, plus de 98% des entreprises françaises ont en effet migré des applications vers le cloud au cours des deux dernières années. Pilier essentiel de la transformation numérique, il présente toutefois de sérieux risques pour la sécurité. Les cybercriminels qui cherchent à extraire des données sensibles pourraient potentiellement compromettre des services cloud, causant des ravages au sein des entreprises avec des répercussions sur leurs clients.
Il faut donc trouver une solution qui permette aux développeurs de gérer leur infrastructure par l’automatisation, tout en minimisant les nouveaux risques de sécurité potentiels. C’est là qu’intervient l’Infrastructure as code (IaC). Selon Tech Target, l’IaC est “une pratique informatique qui codifie et gère l’infrastructure informatique sous-jacente”. Il s’agit d’un phénomène relativement nouveau qui révolutionne la façon dont les organisations gèrent leur infrastructure.
L’utilisation de l’IaC, à la fois comme stratégie et comme solution, offre plusieurs avantages aux entreprises, notamment la rapidité, l’évolutivité, la cohérence, la responsabilité et la réduction des coûts.
L’une des principales responsabilités du RSSI est de protéger l’entreprise tout en favorisant la croissance. En adoptant une solution IaC, la sécurité est améliorée tout en maintenant le niveau de productivité, ce qui permet aux entreprises de répondre aux demandes et aux besoins des clients. Au lieu de passer du temps à provisionner manuellement les composants sous-jacents de l’infrastructure, avec le risque naturel d’erreurs humaines, les équipes de développement peuvent rapidement configurer et automatiser le déploiement l’infrastructure, accélérant ainsi l’ensemble du cycle de développement logiciel, tout en minimisant les risques de sécurité.
À mesure que les entreprises continuent de croître et d’évoluer, leurs processus de sécurité doivent suivre le rythme. De nouveaux outils et technologies de sécurité seront utilisés pour accélérer l’innovation et les RSSI sont chargés de les évaluer et de les consolider. En employant des outils IaC, les équipes de développement peuvent créer des environnements pour tester de nouvelles applications et mettre plus rapidement sur le marché des produits ou de nouvelles fonctionnalités en intégrant la sécurité tout au long du processus.
En général, les RSSI sont chargés de garantir que les politiques de sécurité sont respectées. Par conséquent, ils doivent s’assurer que la documentation est à jour, comme indiqué dans les politiques. En adoptant l’IaC, ils peuvent éliminer le processus de documentation car toute l’infrastructure est définie en tant que code. L’IaC augmente la cohérence, minimise le potentiel de dérive de la configuration et réduit le risque de cyberattaques qui pourraient se produire à cause du provisionnement manuel.
L’IaC permet aux RSSI de suivre toutes les modifications qui ont été apportées à un fichier de code source. Il n’est plus nécessaire de deviner quelle personne a apporté une modification et quand elle l’a fait tout au long du cycle de vie du développement logiciel. Ainsi, il est plus facile pour les RSSI et les responsables de la sécurité de demander aux équipes DevOps de rendre compte des modifications.
Les entreprises peuvent ainsi faire des économies sur les coûts matériels et opérationnels liés aux équipements de l’infrastructure. De plus, en utilisant le cloud computing avec l’IaC, il est possible de réduire les risques de sécurité, ce qui, par la même occasion, peut leur permettre d’économiser également sur les coûts de reprise et continuité d’activité suite à une brêche de données ou tout autre autre forme de cyberattaque.
En exploitant l’IaC comme stratégie et solution, les RSSI et les équipes DevOps peuvent aligner la sécurité sur les objectifs métiers et renforcer les processus de gestion des infrastructures. Il est primordial de considérer l’IaC comme le lien entre le cloud et le cycle DevOps. L’IaC est une solution de sécurité intégrée de bout en bout pour protéger nativement les environnements de cloud de l’entreprise. Une plateforme fournissant une vision complète des cyberrisques sur la surface d’attaque moderne, avec une visibilité unifiée du code, des configurations, des actifs et des applications.