Gestion de l'identité machines : comment gérer le risque de conformité dans monde multi-clouds et multi-clusters ?

Les équipes de sécurité requièrent une solution de gestion de l'identité machines automatisée fonctionnant dans l'ensemble des environnements cloud et containers.

Les services financiers représentent une industrie dans laquelle les ordinateurs centraux font encore le plus gros du travail. De fait, cette industrie se trouve de plus en plus au centre d’une nouvelle vague d’innovation en termes de cloud computing. Selon une étude estimative, 60 % des banques nord-américaines prévoient d’investir dans la technologie cloud à l’avenir. Cependant, comme les clients individuels répartissent les risques en migrant les charges de travail vers de multiples clusters Kubernetes parmi plusieurs fournisseurs de clouds publics, ils peuvent sans le vouloir introduire de nouvelle faille de sécurité.

Cela est dû à l’explosion du volume des actifs clouds qui en résulte, tous ayant une identité devant être gérée en toute sécurité. La seule façon d’y parvenir au sein de ces environnements dynamiques et volatiles est de se tourner vers des outils d’automatisation et de contrôle fournis par des tiers.

Un monde multi-clouds et multi-clusters

Selon une autre étude, 92 % des entreprises ont eu une stratégie multi-clouds l’année passée. Le déploiement des charges de travail sur de multiples clouds publics peut être particulièrement utile pour les organisations d’industries fortement régulées, comme les services financiers. Cela pourrait les aider à atteindre certaines exigences de conformité notamment en termes de souveraineté et de disponibilité des données, avec en plus le stockage des données sensibles au sein de la bonne juridiction ainsi que la continuité des systèmes même en cas de défaillance d’un fournisseur. Avec une stratégie multi-clouds les banques peuvent aussi tirer parti des meilleures capacités offertes par certains fournisseurs. Et cela permet de réduire le risque de dépendance à l'égard d'un fournisseur, qui peut également constituer une préoccupation pour les régulateurs.

Le gain de popularité du multi-clouds s’est accompagné d’un gain de popularité des containers et microservices, qui offrent un moyen d’exécuter les charges de travail au sein de ces différents environnements clouds. Dans de nombreux cas, Kubernetes est utilisé comme système de facto pour l’automatisation, le déploiement et la gestion de ces containers. À ce niveau, les entreprises de services financiers choisissent encore une fois de les exécuter non pas au sein d’un seul cluster, mais au sein de multiples clusters – et au sein de multiples environnements clouds – afin de réduire la dépendance aux fournisseurs, augmenter les performances et améliorer la disponibilité et la résilience.

Les réglementations gouvernementales et financières exigent également des entreprises qu’elles assurent un certain niveau de contrôle sur ces environnements afin de réduire les cyber risques. Cela devrait non seulement inclure la gestion des identités et des accès, mais aussi la gestion des clés et certificats numériques constituant l’identité machines.

À l’heure des contrôleurs

Que signifie « machines » dans ce contexte ? Cela va des appareils, aux charges de travail, en passant par les applications, les containers et les clusters. En négligeant la mise à jour et la sécurité de ces identités, les « machines » auxquelles elles sont liées deviendront vulnérables au piratage et à l’exploitation, entraînant potentiellement fuites de données, ransomware, crypto-jacking et bien plus encore. Cela vient du fait que les identités machines sécurisent et encodent les communications entre ces actifs clouds. En négligeant cela, les organisations de services financiers pourraient être exposées à d’importants risques financiers et de réputation.

La mauvaise nouvelle : il existe un certain nombre de barrières à une gestion efficace de l’identité machines. Les containers, en particulier, sont dynamiques et éphémères, apparaissent et disparaissent tout le temps. Chaque nouveau container nécessite un certificat numérique, qui au final ne dure qu’une heure ou deux. Si l’on multiplie cela par les multiples clusters et clouds, les chiffres deviennent vite hallucinants.

Selon d’autres études, une organisation de taille moyenne utilisait pas loin de 250 000 identités machines fin 2021, mais ce chiffre devrait plus que doubler pour atteindre au minimum 500 000 à l’horizon 2024. 75 % des DSI interrogés déclarent anticiper une augmentation d’au minimum 26 % du nombre d’identités machines au sein de leur organisation, du fait des initiatives de transformation numérique. Des constatations similaires sont attendues dans le secteur des services financiers.

À ces enjeux, s’ajoute le fait que les outils de gestion de l’identité cloud-natifs ne fonctionnent pas au sein des environnements des autres fournisseurs et ne permettent pas la supervision continue des identités machines. Cela risque d’engendrer une multiplication des efforts, des coûts supplémentaires et des brèches de sécurité critiques. Cela créerait également un risque pour les entreprises de services financiers de rater leurs audits de gestion des risques, ce qui au grand minimum les obligerait à fournir un inventaire de l’ensemble des machines protégées par un certificat et éventuellement devoir répondre à des questions supplémentaires concernant les actifs critiques. En fonction de l’audit, d’importantes amendes pourraient suivre.

Gagnant-gagnant

En résumé, cette tâche est rapidement devenue impossible pour les équipes de sécurité. Elles requièrent au contraire une solution de gestion de l’identité machines automatisée fonctionnant dans l’ensemble des environnements clouds et containers. Celle-ci devrait automatiquement configurer, renouveler et résilier les certificats, en fournissant une visibilité sur l’ensemble des clusters afin d’aider les équipes à vérifier le statut des identités machines et répondre aux questions des contrôleurs en toute confiance. Des affichages d’erreurs automatisés allant jusqu’au certificat individuel permettraient de passer en revue et de remédier à la situation, ce qui améliorerait encore la posture de sécurité globale.

Avec un plan de contrôle pour la gestion des identités machines, les équipes de sécurité des services financiers peuvent être rassurées quant à la sécurité des environnements clouds complexes, alors que ceux-ci continueront d’évoluer. Et, tout comme les équipes de développement, elles auront plus de temps pour les tâches à plus haute valeur ajoutée, afin de développer l’activité de l’entreprise. Toutes les parties sont ainsi gagnantes.