• Share via AddThis

PRÉSENTATION DE LA SOLUTION

Atténuation des vulnérabilités de la sécurité des applications

Aujourd'hui, les applications activent la transformation numérique et procurent un avantage concurrentiel. Il est donc temps de simplifier la sécurité et de changer de perspective.

Solutions de sécurité des applications

Bienvenue dans l'ère des applications

Pour conserver leur agilité tout en accélérant la mise sur le marché, les entreprises ont adopté le développement agile et confié aux équipes AppDev et DevOps le soin de répondre aux impératifs stratégiques de l'entreprise. Un développeur peut, d'un simple clic, automatiser la construction, les tests, le déploiement, l'exploitation et la surveillance de code ayant le potentiel de changer le monde.

Principaux avantages

Décaler vers la gauche

La sécurité des applications est intégrée intrinsèquement au cycle de vie du développement applicatif, indépendamment de l'architecture, du cloud ou du framework.

Réduire la complexité

F5 rationalise la sécurité sur des clouds et architectures multiples pour une application cohérente des politiques.

Optimiser l’ergonomie

Les solutions F5 empêchent les compromissions avec un minimum de friction et de faux positifs – transformant un centre de coût de sécurité en un différenciateur commercial.

Mais qu'en est-il de la sécurité des applications ?

Le développement des applications s'est transformé et est devenu largement automatisé, mais la sécurité reste un effort hautement manuel. Les développeurs et les membres DevOps sont 100 fois plus nombreux que les professionnels de la sécurité. La pression pour accélérer la mise sur le marché a provoqué des frictions entre les équipes chargées des applications et de la sécurité, donnant l'impression que la sécurité est un goulot d'étranglement. Il s'agit d'un sérieux dilemme qui se traduit souvent par des tests médiocres, des raccourcis sur les processus et une supervision inefficace.

Dans le même temps, la prolifération des architectures, des clouds et des intégrations tierces a considérablement augmenté la surface des menaces pour de nombreuses organisations. Les vulnérabilités applicatives telles que le cross-site scripting (XSS) et l'injection sont courantes depuis l'apparition de la sécurité applicative il y a plus de 20 ans, mais les attaquants continuent de les découvrir et de les exploiter à un rythme alarmant, en utilisant des systèmes automatisation pour scanner l'Internet à la recherche de profits. Les logiciels libres, en particulier, sont truffés de vulnérabilités, ce qui introduit un risque inconnu et important.

Selon F5 Labs, une vulnérabilité critique susceptible d'entraîner une exécution de code à distance, l'une des attaques les plus graves possibles, est publiée toutes les 9 heures.

Pour gérer efficacement la complexité croissante de la sécurisation des applications sur des architectures, clouds et cadres de développement multiples, les organisations doivent changer leur stratégie et leur perspective.



Open Web Application Security Project

L'Open Web Application Security Project (OWASP) a été fondé en 2001 pour persuader les dirigeants et les conseils d'administration des entreprises de la nécessité d'une gestion efficace des vulnérabilités. Une approche disciplinée, incluant les fournisseurs de sécurité et les suggestions de la communauté, a abouti au Top 10 de l'OWASP, une liste des vulnérabilités applicatives les plus répandues et les plus critiques.

Le XSS et l'injection figurent dans toutes les listes du Top 10 de l'OWASP depuis sa création, mais une nouvelle ère de sécurité applicative est marquée par la menace croissante pesant sur les chaînes d'approvisionnement logicielles, l'omniprésence des logiciels open source et la complexité opérationnelle de la gestion de la sécurité et des accès pour des applications anciennes et modernes. Les mises à jour logicielles, les données critiques et l'intégrité du pipeline CI/CD peuvent tous être compromis. Les logiciels libres, qui certes accélèrent considérablement le développement, modifient également la gestion des risques, car les contrôles couramment effectués pour les logiciels personnalisés développés en interne, tels que l'analyse statique de code (SCA), ne sont pas toujours possibles ou pratiques avec des logiciels tiers.

En 2021, les attaquants ont commencé à exploiter une vulnérabilité critique dans une bibliothèque logicielle open source largement déployée et utilisée par des milliers de sites Web et d'applications, presque immédiatement après la publication des détails de la vulnérabilité. Si elle n'est pas corrigée, cette vulnérabilité peut conduire à l'exécution de code à distance, ce qui permet aux attaquants de prendre le contrôle de sites Web et d'applications en ligne, de voler de l'argent, d’accéder à des données et de compromettre des comptes clients.

F5 Labs détaille l'analyse de multiples sources pour montrer que les exploitations d'applications Web sont parmi les techniques les plus courantes observées dans les incidents de sécurité et ont un temps moyen de découverte de 254 jours. Étant donné que 57 % de toutes les pertes financières signalées pour les plus grands incidents de ces cinq dernières années sont attribuées à des acteurs de menace affiliés à des gouvernements, les organisations ont besoin d'un dispositif d'arrêt robuste pour protéger leurs applications et atténuer les vulnérabilités potentiellement dévastatrices avant que les mauvais acteurs ne puissent mettre à profit les exploitations et compromettre l'entreprise.

Caractéristiques principales

  • L'intégration native dans les cadres de développement applicatifs améliore le temps de mise sur le marché et l’agilité de l'entreprise
  • Une protection prête à l'emploi contre un large éventail de vulnérabilités réduit les risques et la complexité opérationnelle
  • La centralisation de la visibilité et de l’application de politiques sur tous clouds et architectures sécurise l'ensemble du portefeuille d'applications de l'entreprise
  • La politique d'auto-apprentissage et d'auto-ajustement réduit la charge de travail des équipes de sécurité informatique, de DevOps et d’AppDev
  • Les flux de renseignements dynamiques permettent de remédier rapidement aux menaces émergentes
  • La politique déclarative permet d’abstraire l'infrastructure sous-jacente pour éviter les risques involontaires et les erreurs de configuration
  • Une sécurité qui réagit à l'évolution des applications et des attaquants maximise l'efficacité et optimise l'expérience client
  • Les protections automatisées et la sécurité adaptative permettent aux entreprises d'accélérer la transformation numérique en toute sécurité
  • La sécurité se déploie sur demande, là où elle est requise, pour une protection cohérente jusqu’à la périphérie


L'essor de l'automatisation et du cloud

L'évolution rapide de la technologie modifie la façon dont les organisations opèrent – et les mesures qu'elles doivent prendre pour assurer la sécurité de leurs activités. Aujourd'hui, plus de trois quarts des entreprises modernisent leurs applications, en mettant l'accent sur l'accélération de la mise sur le marché. Alors que les projets greenfield peuvent tirer parti de l'efficacité du cloud, la plupart des portefeuilles d'entreprise comprennent à la fois des applications anciennes et modernes qui s'étendent sur des architectures variées réparties dans divers centres de données, clouds et micro-services.

L'explosion des applications et la rapidité de mise sur le marché entraînent également des changements fondamentaux dans la gestion des risques. Les ingénieurs réseau ne déploient pas forcément l'infrastructure. Les équipes DevOps peuvent facilement créer des infrastructures virtuelles éphémères à l'aide d'architectures émergentes, comme des conteneurs dans une solution cloud clé en main, tout en automatisant l’ensemble de la chaîne allant de la création de code au déploiement des services. Avec ces évolutions au niveau des rôles, des responsabilités et des méthodes de travail dans le cycle de développement des applications, la sécurité a souvent du mal à suivre le rythme.

Dans le même temps, les méthodes des attaquants sont de plus en plus efficaces. Ils utilisent des outils et des cadres facilement accessibles pour étendre leurs attaques, en employant essentiellement les mêmes méthodes que les professionnels de la sécurité utilisent pour quantifier et évaluer les risques.

De plus, les entreprises adoptent de plus en plus souvent plusieurs fournisseurs de services en cloud pour assurer la continuité de leurs activités. Bien que cela améliore la résilience et réduise le risque de temps d'arrêt, il existe un effet secondaire involontaire, à savoir que les fournisseurs de cloud ne disposent pas d'une sécurité universelle. Les responsables de la sécurité ne savent donc pas toujours ce qui est sécurisé et ce qui ne l'est pas, et les nuances peuvent entraîner une vulnérabilité – le plus souvent par une mauvaise configuration de sécurité (par exemple, voir le modèle de responsabilité partagée d'AWS).



La nécessité de se décaler vers la gauche et de changer de perspective

Le risque évolue en raison de la façon dont les applications sont construites et déployées. Par conséquent, la sécurité doit évoluer pour garder une longueur d’avance sur les vulnérabilités des applications. La visibilité et la cohérence sont plus importantes que jamais, mais les organisations doivent changer le paradigme de mise en œuvre de la sécurité applicative. Au lieu d'élaborer une politique de sécurité après le lancement d'une application, d'éliminer les faux positifs pour stabiliser et ajuster la politique, puis de surveiller les vulnérabilités récemment publiées qui pourraient mettre l'application en danger, la sécurité doit être intrinsèquement intégrée au cycle de vie du développement des applications, indépendamment de l'architecture, du cloud ou du framework.

La sécurité applicative la plus efficace est automatisée, intégrée et adaptative. L'automatisation permet de réduire les dépenses opérationnelles (OpEx) et de diminuer la pression sur les ressources de sécurité critiques pendant la mise en service, le déploiement et la maintenance des applications. Le déploiement de politiques automatisé peut améliorer l'efficacité en appliquant et en stabilisant les contrôles de sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC), ce qui conduit à une plus grande efficacité avec moins d'intervention manuelle, épargnant ainsi à l'InfoSec un feu nourri d'alertes et de faux positifs potentiels pour qu'ils puissent se concentrer sur des efforts de gestion de risque plus stratégiques. L'intégration native dans les cadres de développement d'applications et les pipelines d'intégration continue/de livraison continue (CI/CD) réduit les frictions entre les équipes de développement et de sécurité, ce qui améliore l'agilité de l'entreprise et l'alignement organisationnel.

L'intégration dans les outils des développeurs, par le biais d'un déploiement et d'une maintenance pilotés par API, simplifie la gestion des politiques et le contrôle du changement sur des architectures et clouds multiples, en abstrayant de la complexité de l'infrastructure, en réduisant les frais d'exploitation et en évitant les erreurs de configuration.

En outre, les mesures d'atténuation de sécurité doivent être précises et résilientes pour éviter de frustrer les clients ou de permettre aux attaquants d'intensifier leurs campagnes pour échapper à la détection. Les consommateurs exigent des expériences personnalisées et adaptées, et les attaquants sophistiqués ne sont pas facilement dissuadés.

Une sécurité efficace qui n'a pas d'incidence sur la convivialité peut constituer un facteur de différenciation essentiel pour gagner et conserver des clients dans une économie numérique hautement concurrentielle



Conclusion

Aujourd'hui, les applications font l'entreprise, par conséquent les menaces pesant sur les applications et une sécurité inefficace constituent les plus grands risques pour le potentiel de l'entreprise. Les architectures d'applications modernes et décentralisées ont élargi la surface des menaces, l'automatisation a augmenté les risques involontaires et l'efficacité des attaquants, et les retombées de la cybercriminalité ne cessent de croître. Les organisations capables d’offrir en dépit de cela des expériences numériques systématiquement sécurisées verront leur clientèle et leurs revenus augmenter.

La solution est claire. Plutôt que de retarder la publication de votre nouveau code susceptible de changer le monde, déplacez la sécurité vers la gauche pour automatiser les protections tout au long du cycle de vie des applications et changez la perspective de la sécurité pour en faire un facteur clé de différenciation de l'entreprise.

En atténuant de manière proactive les vulnérabilités, en réduisant la complexité et en protégeant l'entreprise grâce à une sécurité efficace et facile à utiliser, vous pouvez accélérer la transformation numérique et optimiser l'expérience client : à la fois réduire les risques et créer un avantage concurrentiel numérique.



Étapes suivantes

Commencez un essai

Découvrez comment fonctionne F5 Application Security grâce à un essai gratuit.

Nous contacter

Découvrez comment les produits et solutions de F5 peuvent vous permettre d’atteindre vos objectifs.