AVIS D’EXPERT – L’informatique hybride, qu’on le veuille ou non est aujourd’hui une réalité. Dans cette tribune, Lori Mac Vittie, ingénieur émérite chez F5, nous explique pourquoi les entreprises doivent faire rimer informatique hybride avec sécurité hybride.
Pendant des années, l’industrie a refusé de faire face à la réalité et aux défis de l’informatique hybride en la qualifiant de multi-cloud. Ce qui ne veut pas dire que les entreprises n’opèrent pas dans plusieurs clouds ; elles le font certainement. Mais il faut dire que le terme ne traduit pas pleinement le fait que le « cloud » soit un modèle d’exploitation, pas seulement propre aux fournisseurs publics d’infrastructure en tant que service. En effet, des données ont montré que les entreprises exploitent le cloud sur site et adoptent également ses versions publiques. Mais ce constat ne tient pas compte de la réalité de l’informatique hybride, sous notre nez depuis que le cloud a un succès foudroyant auprès des entreprises. Même si les entreprises ont adopté le cloud, la plupart d’entre elles continuent à travailler dans des environnements traditionnels sur site.
Des applications traditionnelles irremplaçables
Surtout, la plupart des entreprises ne sont pas nouvelles, elles existent depuis vingt, trente et même cinquante ans. Elles disposent donc d’un portefeuille établi qui couvre toutes les générations des principales architectures d’applications, des monolithes aux microservices, du client-serveur au mobile. Il faut s’intéresser plus particulièrement aux environnements sur site, car il est nécessaire pour une entreprise de comprendre les réalités auxquelles les clients sont confrontés. Les données parlent d’elles-mêmes : les organisations sont, et continuent de fonctionner en mode hybride. L’hybride n’est pas près de disparaître. La tendance à la modernisation des applications est forte, mais il semble que certaines entreprises ne parviendront jamais à remplacer les applications traditionnelles par des versions plus modernes. Les entreprises continueront d’être hybrides pendant de nombreuses années encore. Mais cela nous amène à nous poser des questions : qu’est ce que cela signifie pour la sécurité ? Et particulièrement pour la sécurité des applications et des API ?
Des implications de sécurisation considérables
Si on part du principe que les entreprises sont hybrides au niveau de leur activité principale (portefeuille d’applications) ainsi que de leurs environnements opérationnels, les implications pour la sécurité des applications et des API sont considérables. Cela parce que certains environnements d’application, comme les conteneurs, ont des besoins de sécurité uniques qui ne peuvent pas être pris en compte par les solutions de sécurité traditionnelles. Ça veut aussi dire que, si les applications restent sur site, les entreprises auront du mal à trouver des solutions de sécurité cohérentes capables d’englober les déploiements de charges de travail pour les applications centrales, dans le cloud et en périphérie. Cela suppose également que les solutions traditionnelles existantes ne disparaissent pas pour autant, en particulier celles qui se concentrent sur la protection des applications et des API contre les abus et l’exploitation des protocoles. Malheureusement pour les entreprises, l’informatique hybride ne rime pas (et ne peut pas rimer) avec sécurité hybride.
Informatique et entreprises seront bientôt hybrides
Par sécurité hybride, il faut comprendre le regroupement des services de sécurité des applications et des API d’un fournisseur avec un autre, encore un autre et un autre en plus. Le déplacement de la sécurité à gauche du cycle de vie des applications semble être une excellente solution, mais elle conduit trop souvent à la voie de la moindre résistance : une multitude de services de sécurité d’applications et d’API incompatibles qui compliquent et frustrent les efforts pour sécuriser toutes les applications et API. La complexité des outils de cloud computing et des API entraîne déjà des répercussions sur les entreprises, qui sont incapables d’appliquer la sécurité de manière cohérente à toutes les applications. Une approche mixte et à la carte de la sécurité des applications et des API ne fonctionne pas pour la plupart des entreprises, comme le montre l’augmentation substantielle des violations au cours de l’année dernière, qui sont attribuées aux vulnérabilités et aux exploitations …. des applications et des API (eh oui). La réalité de l’informatique hybride sur la sécurité, c’est que l’approche patchwork, et à la carte pour sécuriser les apps et les API, ne fonctionnera pas à long terme. Il faut une meilleure approche, qui doit admettre que l’informatique et l’entreprise sont, et seront dans un avenir proche, hybrides.
Lori MacVittie, ingénieur émérite chez F5