Sécurité et innovation doivent aller de pair

En règle général, l'innovation n'est pas une dynamique qui plaît beaucoup aux experts de la sécurité. Est-il possible de conjuguer les deux, dans l'intérêt des entreprises ?

C’est bien connu : pour les équipes DevOps, maintenir la sécurité des technologies représente un frein à l’innovation, car elle bride leur créativité et les empêche d’adopter des technologies cloud-native comme Docker, Kubernetes, PaaS ou des architectures “serverless”. En effet, sécuriser les systèmes impose d’instaurer des politiques et des protocoles qui restreignent cette liberté et limitent les options. Le danger est aussi d’adopter une approche fragmentée, qui complexifie encore plus la situation pour les équipes en charge de la sécurité, les incitant à prendre une posture plus défensive en matière de gestion du risque.

Les programmes logiciels incluent quasiment tous (99 %), aujourd’hui, au moins un composant open source ce qui en fait des cibles de choix. La preuve en est : il y a eu une hausse de 650% en 2021, par rapport à l’année précédente, du nombre d’attaques sur les chaînes d’approvisionnement visant des vulnérabilités dans les communautés open source en amont. Le coût d’une simple vulnérabilité peut se chiffre en millions, à la fois en amendes mais aussi en niveau de confiance. Il peut être très complexe de trouver de nouvelles ressources pour se protéger contre ce type de risque , d’autant plus la sécurité est gérée en interne : il ne faut pas négliger l’intérêt des investissements en matière de connaissances et de personnel. Une équipe de sécurité doit pouvoir répondre avec assurance à des questions essentielles : « Quel logiciel utilisez-vous ? Est-il compatible avec le dispositif de sécurité de votre infrastructure ? Savez-vous détecter les vulnérabilités et résoudre les problèmes que vous découvrez ? ». Si ce n’est pas le cas, il faut réfléchir aux mesures que l’organisation doit prendre pour pallier cette situation. Arrêter d’utiliser des éléments open source présente un risque tout aussi élevé. En 2021, six millions de nouvelles versions de logiciels open source ont été mises sur le marché pour permettre aux entreprises de stimuler l’innovation et, à terme, d’augmenter leurs bénéfices.

Choisir un modèle sécuritaire compatible avec la culture Open Source

La question de la sécurité étant principalement liée à la culture d’entreprise, une entreprise qui s’appuie sur une culture ouverte crée les conditions pour que innovation et sécurité ne s’opposent pas, mais sont, au contraire, interchangeables. Cette approche, fondée sur l’association de la sécurité et du développement, connue sous le nom de DevSecOps, place la sécurité sous la responsabilité non pas d’une mais d’un ensemble d’équipes et nécessite le partage des connaissances et l’intégration de la sécurité au sein de flux de travail DevOps. Dans cette approche, en raison de la brièveté des cycles de mise sur le marché actuels, le focus ne se fait plus uniquement sur le moment où l’application est sur le point d’être déployée en production mais englobe tout le cycle de vie. Pour réaliser cela, il faut parfois opérer des transformations organisationnelles, introduire de nouveaux modes de travail, voire aller jusqu’à une métamorphose culturelle.

La question de la sécurité de l’open source est un sujet qui dépasse la sphère interne et doit susciter une cohésion générale parmi les acteurs de la communauté pour être plus forts face aux cybercriminels. Ces derniers adoptent la façon de penser des développeurs pour planifier leurs attaques. C’est pourquoi il est important d’encourager les développeurs à repérer les bugs et vulnérabilités dans le code pour garantir au maximum la sécurité.

La transparence est un élément tout aussi important, la sécurité n’étant plus opaque et secrète comme l’était auparavant. C’est désormais une responsabilité partagée entre tous et les opérations doivent se dérouler de façon ouverte. En matière d’open source, les personnes en mesure de repérer une vulnérabilité, d’enquêter, de développer des correctifs et de les tester sont plus nombreuses. Il en va de même pour les utilisateurs qui font preuve de vigilance et disposent de moyens d’action. Cela permet de détecter et de corriger plus rapidement les vulnérabilités et d’en tirer des enseignements, dans un cercle vertueux dû à l’effort collectif. Cette approche s’accompagne d’une plus grande participation et ouverture, qui sont à l’avantage d’une vision propriétaire de la sécurité, reposant à la fois sur la vigilance et les compétences d’un petit nombre.

Le caractère hautement personnalisable des outils et technologies DevOps – conteneurs, Kubernetes, Docker, ou encore micro-services – représente l’un des principaux défis de l’open source  ; les différentes options de configuration possibles peuvent impacter la posture de sécurité d’une application. Il faut faire attention à ne pas mal configurer ses outils, au risque de créer une menace pour la sécurité. En cela, automatiser la gestion de ces opérations, et donc ériger la technologie en garde-fou, permet de minimiser les complications possibles.

L’origine du code, un élément à connaître

Connaître l’origine du code open source utilisé constitue une première ligne de défense, même si la provenance du code semble sans importance. Pourtant, le principe de l’open source est construit sur la libre utilisation des technologies par les entreprises. Il faut donc, en contrepartie, vérifier que les projets sont examinés, validés et sécurisés en amont de leur mise en production, et ce par des développeurs en interne.

Il existe des logiciels open source préalablement vérifiés et mis à jour par des prestataires pour le compte de l’entreprise. Si l’on réduit le nombre de fournisseurs de logiciels, on réduit également le nombre de partenaires auxquels l’entreprise doit faire confiance pour garantir le meilleur accompagnement possible. Moins les systèmes sont nombreux, moins ils sont complexes et permettent de réduire la charge de travail associée. Pour cela, certaines caractéristiques doivent être respectées : utiliser un logiciel fourni par un réseau de distribution validé et sécurisé, avec des signatures garantissant son authenticité ; un code stocké dans des entrepôts internes sécurisés ; des packages signés et des garde-fous robustes qui protègent contre toute altération ; ainsi qu’un code sujet à des modifications minimales tout au long du cycle de vie du produit.

Si le sujet de la sécurité n’arrive pas en tête des priorités, il y a un risque de voir apparaître des ingérences, des interruptions, des restrictions et d’empêcher l’entreprise de concentrer son attention et ses ressources à des activités qui favorisent sa croissance. Prise en considération dès le départ, sur le même plan que les logiciels, les processus de sécurité du distributeur et la plateforme de déploiement, la sécurité devient un véritable facteur d’innovation et un élément permanent, dont l’exécution reste en arrière-plan, hors de vue, et qui stimule discrètement la productivité sans jamais la mettre en péril.