Automatisation ou sécurité… faut-il choisir ?

Les entreprises doivent à la fois réduire leurs coûts d’exploitation IT, être plus agiles tout en améliorant leur sécurité afin de préserver et développer leurs activités. Des objectifs a priori contradictoires.

La réduction des coûts va souvent de pair avec une réduction des équipes, une consolidation des fonctions vitales dans un bloc compact, voire l’externalisation partielle ou totale d’une partie des applications et des données. A elles seules, ces décisions peuvent déjà accroître le niveau de risque…

En outre, l’externalisation des données et applications se fait souvent en acceptant les référentiels de sécurité des tiers ; qui demande en effet à Microsoft, Google, Salesforce ou Amazon de modifier leurs contrôles de sécurité internes lors du passage des données dans leurs infrastructures ?

Mais ce n’est pas tout. La consolidation des données et des applications dans un data center implique souvent des contrôles de sécurité plus faibles, car l’équipe Sécurité n’est pas intégrée dans la réflexion initiale de consolidation. En outre, malgré leurs avantages, les technologies d’hyper-convergence accroissent la complexité des contrôles de sécurité classiques. De plus, comment bien assurer ces contrôles alors qu’on ne sait plus précisément où sont localisées les données ?

Pas besoin non plus d’être un expert pour pressentir qu’un processeur (réel ou virtuel) hébergeant au même moment plusieurs applications ou plusieurs contextes applicatifs est vulnérable. Les caches internes sont déjà connus pour permettre la porosité inter-environnements via des attaques très bien documentées.

Le SDDC comme socle de la transformation IT – un enjeu technique et organisationnel

Pourtant, les organisations peuvent réconcilier ces contraintes et ces impératifs en engageant une démarche de consolidation IT Data center/Cloud, tout en organisant leurs technologies réseau, de stockage, de calcul et de sécurité de façon globale. Les nouvelles architectures dites SDDC (Software Defined Data center) permettent cette orchestration. Il s’agit de concevoir le data center comme une entité virtualisée et automatisée délivrant un service à l’organisation.  Dans cette approche, ce sont les besoins des applications et des métiers (performance, QoS, stockage, calcul, sécurité, disponibilité) qui pilotent  l’affectation des ressources du data center, en faisant collaborer les différentes technologies par des interfaces ouvertes (API). Le principal enjeu de la mise en œuvre du SDDC est donc bien organisationnel, pas simplement technique.

La réflexion sur ce type d’infrastructure devra porter aussi bien sur les outils et technologies permettant cette évolution que sur les modes de travail entre équipes internes.

Il faut d’emblée définir clairement les responsabilités et interfaces de communication entre les métiers et les opérations (définition d’un catalogue de services IT via un outil formel par exemple). Il faut ensuite unifier les compétences système, réseau et sécurité opérationnelle sous un management unique – et unifier le management des équipes pour éviter les tensions internes. Il faut également définir des interfaces et des modèles de communication entre les équipes systèmes et réseau/sécurité. Puis mettre en place une veille technologique sur ce qui existe déjà et mettre en oeuvre les technologies et les outils d’automatisation (SDN) adaptés. Enfin, former les équipes dans une optique DevOps/SecDevOps.

L’implication du management pour coordonner sa mise en œuvre

Cette transformation présuppose une implication forte, prudente, méthodique du management pour éviter que « SDDC » ne rime avec « insécurité ».

Les équipes doivent impérativement établir des modèles précis de collaboration et faire exploser les silos, mais le travail de réflexion et de mise en œuvre est conséquent. Il faut notamment identifier des responsabilités technologiques précises dans un environnement totalement dynamique, mutualisé et accédé par de très nombreux tiers internes comme externes. Les conformités métiers et réglementaires, sans savoir a priori à un moment précis où sont localisées les données et les applications et qui y accède, dans un contexte où Safe Harbor vient d’être invalidé, sont également à prendre en considération. Il faut aussi prendre en compte la forte augmentation du trafic Est-Ouest et donc le déplacement latéral des menaces dans le data center. Enfin, il faut imposer des contrôles de sécurité firewall pour des ressources dont on ne connait pas les adressages IP (création dynamique de Virtual Machine liées à la définition d’un nouveau service défini dans le catalogue de service ou bien Virtual Machine dormantes par exemple).