75 %. C’est le nombre de responsables IT qui considéraient en 2022 que leur entreprise serait vulnérable à une attaque de sécurité pour 2023. Ce chiffre, qui fait froid dans le dos, a été mis en exergue dans une étude publique menée l’année dernière par Cisco AppDynamics, spécialiste de l’observabilité et de l’application performance management (APM).
Ce sont 1 200 professionnels du secteur dans une douzaine de pays qui ont été interrogés sur leurs bonnes pratiques quant à la sécurité dans le développement des applications et l’importance qu’elle lui accorde.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Pour discuter des résultats de cette étude ainsi que de la manière de gérer et de sécuriser un stack applicatif à l’ère des applications cloud natives, Siècle Digital a rencontré Eric Salviac, Business Value Consultant chez Cisco AppDynamics.
Applications cloud natives : quels défis imposent-elles ?
Avant de se plonger dans l’univers des applications cloud natives, encore faut-il en comprendre tous les rouages. Elles peuvent être définies comme des plateformes sans serveur permettant aux développeurs de créer des applications sans forcément devoir gérer toute l’infrastructure derrière. Elles résultent de diverses évolutions qui ont eu lieu au cours des dernières années.
Après les applications on-premise, c’est-à-dire celles déployées sur un serveur informatique appartenant à l’entreprise, les applications virtualisées dans le cloud à travers des machines virtuelles ont vu le jour. Nous sommes ensuite passés à des applications conteneurisées. « Elles résident et sont développées sur des plateformes cloud type AWS ou encore Google Cloud Platform. Elles sont donc en mode conteneur, et nous avons des conteneurs à peu près partout. L’important n’est pas de savoir où elles sont. Elles sont dans le cloud. Ce qui compte, c’est qu’elles fonctionnent », explique Eric Salviac.
Cependant, les applications cloud natives imposent un défi majeur : la sécurité. « Aujourd’hui, une application, c’est 1 000 conteneurs qui peuvent être sur plusieurs endroits du cloud », rappelle l’expert. C’est la bonne orchestration de tous ces conteneurs qui permet de faire fonctionner l’application. Autant dire qu’elle ne peut pas œuvrer correctement sans une sécurité suffisante.
Il s’agit d’une problématique propre aux applications cloud natives. « Nous sommes dans un environnement complètement ouvert et hybride et dont nous ne connaissons finalement pas les contours. Cela ouvre ainsi la porte à un champ possible de cyberattaques qui sont beaucoup plus importantes et sophistiquées », souligne le Business Value Consultant.
Sécuriser son stack applicatif, véritable enjeu pour les entreprises
Vous l’aurez compris, sécuriser son stack applicatif à l’ère des applications cloud natives est un enjeu complexe. C’est justement pour aborder ce sujet majeur que Cisco AppDynamics a réalisé son étude intitulée “The shift to full-stack application security” en 2022. Le but était de connaître le ressenti des professionnels de l’IT par rapport à cette problématique et d’identifier les moyens mis en place pour y faire face.
Le premier constat, c’est que l’accélération à marche forcée de l’innovation et la nécessité de répondre rapidement aux besoins des utilisateurs se font au détriment de la sécurité des applications. C’est ce qu’indiquent 92 % des sondés.
Pour autant, Eric Salviac n’estime pas qu’un gros retard a été pris sur ce pan. « Le marché de la sécurité est aujourd’hui la priorité numéro une de l’IT. Ce sont des budgets de plusieurs dizaines, voire plusieurs centaines de milliards de dollars qui sont projetés actuellement et sur les années qui viennent. Donc, le retard est en train d’être rattrapé progressivement. Par contre, la sécurité reste une vraie crainte pour les organisations », assure-t-il.
Au vu des nombreuses cyberattaques qui ont ciblé les gouvernements, les grandes entreprises ou encore les hôpitaux au cours des derniers mois, il faut dire que ce sentiment est légitime. « Les nouvelles technologies, les architectures étendues, les API ou encore la conteneurisation donnent beaucoup “d’opportunités” aux hackers de faire preuve d’imagination et d’aller chercher les failles », explique le Business Value Consultant.
Face à ce risque de cybermenaces grandissant, quels sont les principaux enjeux pour les responsables IT ? Pour ceux interrogés par Cisco AppDynamics, le plus important est de hiérarchiser les menaces. Le but est de les arrêter avant qu’elles ne se transforment en brèche dans lesquelles les hackers vont s’immiscer.
Comment protéger ses applications cloud natives ?
Si les challenges qu’impose la sécurisation d’un stack applicatif aujourd’hui paraissent clairs, une question subsiste toutefois : comment protéger ses applications cloud natives ? En interne, certaines mesures ont déjà été prises par les responsables IT. Parmi celles-ci, l’organisation des équipes en DevOps. Il s’agit d’un ensemble de pratiques mettant l’accent sur la collaboration et la communication entre deux corps de métier : le développeur logiciel et l’administrateur en charge des opérations informatiques. L’objectif : l’efficience opérationnelle.
« L’étape suivante, que nous voyons déjà sur le marché, c’est le DevSecOps. C’est la capacité des équipes à faire de la sécurité, ou du « Security by design », c’est-à-dire à traiter le problème de sécurité au niveau du code, au moment où nous développons et où nous créons les applications », indique Eric Salviac.
Une autre solution consiste à sécuriser l’application au niveau du runtime. « Dans ce cas de figure, nous contrôlons et nous monitorons la performance de l’application et en même temps, nous regardons la sécurité du code, ce qu’il s’y passe et nous pouvons détecter les vulnérabilités en temps réel, tout en donnant un niveau de risque », explique-t-il. L’idée est simple : pouvoir anticiper les menaces.
Outre ces solutions, faire appel à une équipe de professionnels est préférable au vu des problèmes de sécurité variés qui existent. Elle sera alors en capacité de diagnostiquer la situation et les potentiels risques.
Malgré les nombreux défis évoqués et les chiffres mis en exergue par Cisco AppDynamics dans son étude, Eric Salviac demeure confiant quant à la cybersécurité des applications natives. « Sur les 1 200 personnes que nous avons interrogées dans cette douzaine de pays, il y a quand même 79 % d’entre eux qui déclarent que la mise en œuvre d’une approche de sécurité pour l’ensemble du stack applicatif est devenue une priorité en 2022. Il y a donc une véritable prise de conscience », rassure Eric Salviac. Davantage de statistiques sont à découvrir dans l’étude de Cisco AppDynamics.