Les Devops et l’Agilité…les pires ennemis de la Sécurité…ou pas ! (1/2)

Il était une fois la Sécurité des SI…
Les standards et les pratiques régissant la Sécurité Informatique s’articulent toujours autour d’une approche top-down. Cet « écosystème » prend naissance à partir de directives générales provenant de normes internationales ou sectorielles, des législations…qui se traduisent en Politique Générale de Sécurité des Systèmes d’information qu’une entreprise formalise et veille à appliquer. Pour ce faire, des analyses de risque (selon des approches diverses : MEHARI, EBIOS…) sont réalisées. L’idée étant d’apprécier l’exposition de l’entreprise (dans la totalité de son activité ou sur une partie) aux menaces potentielles, afin de cibler les investissements et les efforts à déployer sur les différentes composantes de son Système d’Information.

L’Output de ces travaux se concrétise sur le plan opérationnel par un ensemble de procédures, best practices, kits de durcissements…mis en œuvre par l’entreprise. Celle-ci s’appuie alors sur ses fournisseurs et intégrateurs IT mais aussi sur des solutions techniques ad hoc (appelées alors Solutions de Sécurité). Ces mesures techniques (mais aussi organisationnelles) ont pour vocation de réduire les risques auxquels l’entreprise est exposée.

Ces dispositifs sont alors orchestrés par des mécanismes et des processus de supervision, de reporting et de gestion d’incidents dont le but est de contrôler l’efficience des mesures mis en œuvre et éventuellement les ajuster selon les résultats qu’elles auront réalisés. C’est ce qui est communément appelé cycle PDCA (Plan, Do, Check, Act), ou encore roue de Deming.

Un modèle parfait ? Non !

En théorie efficace, le modèle de management de la sécurité montre souvent ses limites en particulier par rapport à la complexité (voire la lourdeur) de sa mise en œuvre. C’est un système qui mobilise beaucoup de ressources (en efforts et investissements). Dans certains cas de figure, il peut même s’avérer contre-productif car il met en jeu des processus peu résilients aux changements et aux évolutions.  Cette limitation prend tout son sens pour les grandes entreprises ayant des SI complexes.

Tous ceux qui ont pratiqué les métiers de la Sécurité Informatique (ou du moins côtoyé des intervenants les pratiquant) tout aussi bien sur l’aspect conceptuel (RSSI, risk management…) qu’opérationnel, se sont certainement confrontés des choix cornéliens donnant lieu à des dilemmes et débats.

D’un côté les prérogatives Sécurité (souvent qualifiées de rigides), de l’autre celles du Business (toujours plus ambitieuses) !

J’ai un business innovant et porté vers le digital. Qu’est-ce que je fais ?

Aux antipodes des processus Sécurité classiques, le contexte business actuel est régi par de nouvelles règles de jeu. Les méthodologies de gestion de projet agiles, couplées aux techniques DevOps bousculent les concepts de sécurité et les mettent à rude épreuve ! On parle de time-to-market, mais encore de cycles de vie très courts pour les changements et les déploiements (quelques semaines, voire quelques jours contre quelques mois à quelques années pour les cycles classiques).

Paradoxalement, pour rassurer les consommateurs des services digitaux, les besoins en sécurité sont accrus du fait de l’exposition et des risques croissants qui pèsent sur les plateformes et les données.

Le décalage entre les besoins des Product Owners et des Sponsors d’une part et la capacité à satisfaire les besoins en sécurité d’autre part n’a jamais été aussi compliqué à gérer.  Nous assistons à un véritable « face off » Business Sécurité ! C’est tout de même un affrontement qui ne doit pas déboucher sur un vainqueur car Business et Sécurité ne peuvent avancer que de pair.

 

Nous sommes probablement à l’aube d’un tournant dans les technologies utilisées et le mind-set du métier Sécurité.

 

La suite dans un prochain article. Pour échanger à ce sujet, prenez contact avec iDNA contact@idna.fr

Articles associés

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Le SIEM dans tous ses états

10 février 2022
Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]