Jérôme Clauzade,
Head of product chez Intercloud
« La vraie problématique qu’un pare-feu applicatif soulève, c’est que protéger une application moderne est très compliqué. Les applications sont maintenant composées de multiples composants qui interagissent ensemble. Elles sont très complexes, leur surface d’attaque est énorme, or on ne protège que ce que l’on connait bien. Traditionnellement, les équipes sécurité avaient très peu de communications avec les développeurs même lorsque celles-ci sont développées en interne. La sécurité était mise en place à la mise en production de l’application et n’évoluait plus. Mais avec DevOps, on passe d’une évolution par mois à un rythme de 50 par jour ! Face à ce raz-de-marée, l’équipe sécurité est complètement débordée et il faut changer de modèle, il n’est plus possible de sécuriser une application au moment où les développements s’achèvent. Le mieux, c’est que les développeurs eux-mêmes assurent la sécurité du code qu’ils développent en expliquant ce qu’accomplit réellement leur application mais pour moi ce n’est pas la bonne approche. Les développeurs sont dans un “mindset” radicalement différent de celui d’un expert en cybersécurité. »