La décision à laquelle les entreprises sont confrontées aujourd’hui n’est pas de savoir si il faut déplacer les applications et l’infrastructure dans le cloud, mais quels clouds utilisés et comment?
Dans son rapport 2021 sur l’état du cloud, Flexera a constaté qu’en matière de cloud 92 % des décideurs adoptent une stratégie multi-cloud.
Ces mêmes décideurs reconnaissent toutefois que le multi-cloud s’accompagne de son propre lot de défis.
Plus précisément, le rapport de Flexera note que 81 % de ces décideurs considèrent la sécurité et la conformité comme l’obstacle numéro un à la réalisation de tous les avantages du cloud public.
Qu’on le veuille ou non, ils ont raison!
À mesure que les clouds se complexifient et que Kubernetes devient plus omniprésent, les réseaux deviendront ingérables sans automatisation de la sécurité.
À l’heure actuelle, la sécurité est perçue comme le maillon faible de la chaîne DevOps, et ce n’est pas sans raison.
Le développement d’applications agiles nécessite des changements continus, ce qui inclut des modifications des contrôles d’accès.
S’il faut plusieurs jours aux équipes chargées du réseau et de la sécurité pour examiner et approuver (ou refuser) ces changements, le processus s’effondre.
Et c’est exactement ce qui se passe dans les entreprises du monde entier.
La solution ne consiste pas à contourner la sécurité et ne consiste certainement pas à limiter les investissements dans le cloud.
Au départ, les entreprises ont adopté le cloud pour réaliser des économies, mais elles se sont rendu compte au fil du temps que, même si elles ne réalisent pas d’économies importantes, le cloud peut leur procurer un avantage concurrentiel en accélérant la mise sur le marché, en améliorant la satisfaction des clients grâce à des réponses plus rapides, à de nouveaux services en répondant à l’évolution des demandes du marché grâce à de simples capacités d’extension et de réduction.
À une époque où la plupart des entreprises se considèrent comme des adeptes du numérique, elles ont besoin de l’agilité du cloud, mais elles doivent aussi reconnaître que le cloud s’accompagne de nouveaux défis en matière de sécurité.
L’agilité et la sécurité sont possibles
L’adoption de modèles de clouds multiples et hybrides ne signifie pas que le Data centers disparaît…
L’expansion du réseau dans le cloud entraîne une augmentation de la surface d’attaque.
Pour la plupart, les entreprises ont déployé davantage de pare-feu et de commutateurs pour sécuriser les points du réseau ainsi que la segmentation du réseau.
Mais cette approche entraîne une complexité de gestion et des coûts supplémentaires.
La configuration et la gestion de milliers de pare-feu et de commutateurs est une mauvaise voie à suivre et l’une des principales raisons pour lesquelles Gartner pense que 99 % de toutes les défaillances de sécurité jusqu’en 2025 seront attribuables à des erreurs de configuration.
L’expérience client le confirme, une solution de politique de sécurité centralisée et automatisée peut assurer la sécurité avec agilité dans un monde hybride multi-cloud.
Avec une couche de gestion de la sécurité centralisée qui se trouve au-dessus de toute l’infrastructure, les entreprises peuvent facilement visualiser, analyser, créer et mettre en œuvre des politiques de sécurité sur l’ensemble du réseau hybride.
Grâce à une approche basée sur les politiques et à une console de gestion centrale qui se connecte à l’ensemble du réseau et des plateformes cloud, les changements peuvent enfin être automatiquement vérifiés pour s’assurer de leur conformité aux politiques, afin d’être correctement conçus et provisionnés.
Une fois automatisées, les politiques de sécurité peuvent être intégrées dans le processus de changement du réseau et dans les flux de travail ITSM, de sorte que les changements de sécurité peuvent être examinés et approuvés/refusés en quelques minutes au lieu de plusieurs jours.
Les avantages de l’automatisation des politiques de sécurité
L’automatisation des politiques de sécurité présente quatre avantages importants :
- Apporter de l’agilité à la sécurité, ce qui change la donne pour les entreprises qui s’efforcent de réaliser leur transformation numérique et souffrent des changements qui prennent des jours à mettre en œuvre.
- Offrir une meilleure visibilité de la sécurité dans l’ensemble de l’entreprise, qu’une application soit hébergée dans le centre de données ou dans l’une des nombreuses plateformes de cloud.
- Permettre aux équipes de réseau et de sécurité d’intégrer la sécurité dans le processus DevOps sans dépendre des développeurs pour configurer ces paramètres.
- Faciliter le concept de conformité continue, où les politiques de sécurité peuvent être rapidement mises à jour et appliquées de manière cohérente pour répondre à l’évolution des exigences réglementaires et commerciales.
À l’heure actuelle, la plupart des entreprises sont coincées entre le marteau et l’enclume : sécurisées mais lentes, ou agiles mais risquées.
Tufin propose une solution intermédiaire, c’est à dire un équilibre entre la sécurité et l’agilité grâce à l’automatisation sans contact.
Comme Bruce Schneier l’a souligné de manière pertinente, “la sécurité est un processus, pas un produit”.
L’objectif de toute organisation agile devrait être d’intégrer la sécurité dans ses processus de développement agiles, où qu’ils se déroulent : dans le centre de données, dans un cloud privé ou dans un certain nombre de clouds publics.
Ce n’est qu’à cette condition que les entreprises seront en mesure de découvrir la prochaine grande nouveauté sans devenir la prochaine cible.
Source : Tufin
Pour en savoir plus concernant la solution Tufin :
