Les risques liés à la prolifération des applications

Le fait d'avoir trop d'applications élargit-il votre surface de menace ?

CONTENU CONNEXE

Le labyrinthe du multicloud : 5 principes pour réussir

Tout comme la virtualisation a révolutionné l'infrastructure informatique, l'essor du cloud a une fois de plus modifié les règles du jeu.

Lire l'eBook ›

Peut-on avoir trop d'applications ? À partir de combien est-ce trop ? Savez-vous au moins combien vous en avez ou qui y a accès ? Une étude récente d'IDG a révélé que l'entreprise moyenne possède 1742 applications, dont environ 60 % sont développées en interne. Le volume d'applications ne cessant d'augmenter, les entreprises s'efforcent de mettre en place un libre-service, une automatisation et une gestion centralisée.

UNE SURFACE DE MENACE CROISSANTE

Bien entendu, les applications sont essentielles à la gestion de votre entreprise. Bien conçues, elles peuvent rendre presque toutes les tâches ou tous les processus plus rapides et plus faciles. Mais l'abondance de biens ne nuit-elle pas ? Apparemment, si. Les professionnels des opérations informatiques ont du mal à suivre l'évolution constante des architectures d'applications, des plates-formes et des normes technologiques modernes, et par conséquent, la sécurité, la visibilité et la conformité des applications deviennent de plus en plus préoccupantes.

Une grande compagnie maritime a certainement constaté que c'était le cas. Même à l'époque où la prolifération des applications n'était pas reconnue comme un problème, ce géant des services de transport maritime et de bureau a évalué son portefeuille d'applications et a réalisé qu'il en comptait plus de 2600, conséquence à la fois d'une poussée massive d'acquisitions et d'une croissance rapide. Tout aussi inquiétant, il a identifié plus de 14 000 interfaces personnalisées pour ces applications. La surface de menace pour tant d'applications est un risque énorme avec lequel toute entreprise doit se débattre seule, et ce n'est que l'un des nombreux risques importants qui accompagnent ce type de prolifération d'applications.

Une étude récente d'IDG a révélé qu'une entreprise moyenne possède 1742 applications, dont environ 60 % sont développées en interne.

RISQUES ET SOLUTIONS

Les applications peuvent maintenant passer de l'idée initiale à la preuve de concept en quelques semaines grâce à un environnement de développement d'applications extrêmement fertile. L'une des conséquences de cette rapidité est que la responsabilité des décisions relatives au développement et au déploiement des applications, y compris celles ayant un impact sur la sécurité et la conformité, a été transférée aux développeurs et non plus aux professionnels des réseaux et de la sécurité. Bien que cette situation soit favorable à l'accélération de la capacité d'innovation latente et à l'amélioration de la position concurrentielle des organisations — les menaces de sécurité, les exigences de conformité et les préoccupations opérationnelles restent importantes.

Les nouvelles parties prenantes privilégient les options natives du cloud et les logiciels libres à faible coût par rapport aux solutions plus robustes gérées par les experts du domaine. Cela découle d'une crainte légitime que la dépendance à l'égard d'autres équipes n'introduise des frictions dans le processus, ralentissant ainsi le rythme de l'innovation. Toutefois, cette approche pose des problèmes communs, notamment l'étalement des outils de sécurité et de gestion, le manque de visibilité sur les performances des applications et les difficultés importantes à respecter les mandats de conformité réglementaire. 

L'ÉTALEMENT DES OUTILS DE SÉCURITÉ ET DE GESTION

Avec environ 87 % des entreprises utilisant des déploiements multicloud, selon notre Rapport 2019 sur l'état des services d'applicatifs, on détecte une tendance à utiliser tous les outils disponibles auprès du fournisseur de cloud. Cela signifie qu'il faut utiliser plusieurs interfaces natives pour résoudre essentiellement le même problème, entraînant ainsi des problèmes avec des capacités, des politiques et des interfaces de gestion différentes, ce qui augmente les risques pour l'entreprise.

Si l'on ajoute à cela non seulement le nombre d'applications que gèrent les entreprises, mais aussi leur complexité, il en résulte une plus grande surface de menace — ou une zone de vulnérabilité potentielle en matière de sécurité — à laquelle les entreprises comme la vôtre sont confrontées. Aujourd'hui, vous devez gérer différents cadres web tels que node.js et HTML5, entre autres, et notamment des serveurs d'applications et des serveurs web. Les différents navigateurs ont accès à des applications différentes. Chaque niveau de complexité supplémentaire entraîne une augmentation des vulnérabilités et des risques à gérer.

Comment gérer ce risque ? En changeant d'orientation.

Nous prenons toutes les précautions pour sécuriser le réseau. Mais il est temps de se concentrer aussi sur la sécurité des applications. Les pare-feux des applications web, en particulier, sont un moyen courant de gérer la sécurité des applications. C'est parce que les agresseurs ne visent pas seulement le réseau. Même dans un réseau sécurisé, si l'application présente une faille, ils s'y engouffrent.

Prenons encore une fois l'exemple de cette compagnie maritime. N'importe qui dans le monde peut accéder au site web pour ses besoins en matière de transport maritime. Cela représente des milliards de personnes. Même si le réseau est complètement verrouillé, l'application pourrait être le moyen d'y accéder, puisque n'importe qui est autorisé à l'utiliser. Leur plus grand risque serait donc lié à cette application, et non à son réseau soigneusement surveillé. Pour beaucoup d'entreprises, l'application est le maillon faible en ce moment. Et les pirates le savent.

Ce que vous devez faire, c'est créer des services d'application normalisés qui peuvent être fédérés au niveau mondial sans entraver l'innovation des équipes de développeurs décentralisées. Adopter et permettre l'automatisation pour garantir que la sécurité est intégrée, avec des politiques de sécurité définies et gérées par des experts dans leur domaine et stockées sous forme d'artefacts dans des référentiels de codes sources à utiliser dans les pipelines d'automatisation des CI/CD plutôt que codées en dur ou configurées manuellement après coup. Pour accélérer (en toute sécurité) la mise sur le marché des applications, il est essentiel de ne coder que ce qui est nécessaire et de tirer parti des services d'infrastructure réutilisables, tels que l'authentification et les pare-feux des applications web.

Vous voulez connaître un secret alarmant ? La plupart des organisations ne peuvent pas vous dire ce qui se passe avec leurs applications à un moment donné. Elles ne savent pas combien d'applications elles ont, et encore moins où elles se trouvent ou qui y a accès.

MANQUE DE VISIBILITÉ DES APPLICATIONS

En mars 2019, il y avait plus de 2,1 millions d'applications disponibles pour les utilisateurs d'Android. L'App Store d'Apple

propose plus de 1,8 million d'applications. Et cela ne compte pas les millions d'applications d'entreprise qui ont été développées et déployées. Au total, nous parlons probablement de plus d'un milliard d'applications en jeu dans le monde aujourd'hui.

Vous voulez connaître un secret alarmant ? La plupart des organisations ne peuvent pas vous dire ce qui se passe avec leurs applications à un moment donné. Elles ne savent pas combien d'applications elles ont, et encore moins où elles se trouvent ou qui y a accès. Même pour les applications les plus importantes, les organisations ont rarement une visibilité constante sur le fonctionnement de ces applications (par exemple, la disponibilité, la latence pour l'utilisateur final), ou sur l'endroit où il faut chercher en cas de problème.

Quelle que soit votre stratégie, l'objectif doit être de trouver comment déployer et gérer les applications de manière cohérente dans tous les silos de votre infrastructure. La meilleure façon d'y parvenir - et d'obtenir une visibilité sur les chemins d'accès de toutes vos applications — est de tirer parti d'un ensemble cohérent de services applicatifs multicloud. Un outillage commun vous aidera à réduire les risques, à accroître la répétabilité et à limiter les défauts en réutilisant des services cohérents partout où cela est possible, en particulier dans les architectures multicloud. Lorsqu'ils sont déployés sur l'ensemble de votre paysage applicatif, ces services cohérents devraient permettre une inspection complète de l'ensemble du trafic sur le chemin des données, assurant un dépannage facile en cas de problème et l'interception et le blocage du trafic malveillant.

Cette cohérence, et la visibilité que cette approche permet, contribue également à réduire les frictions entre les différentes équipes opérationnelles qui doivent collaborer pour que les applications restent performantes et sécurisées.

PROBLÈMES DE CONFORMITÉ

De nos jours, de nombreuses organisations, en particulier celles qui exploitent des applications sur plusieurs clouds (comme la grande majorité des organisations le font actuellement ou prévoient de le faire), éprouvent des difficultés importantes à respecter les mandats de conformité réglementaire.

Comme de nombreuses villes modernes, les besoins numériques de la ville de Bellevue ont augmenté de façon spectaculaire. Il y a dix ans, seule une poignée de techniciens utilisait son VPN pour accéder aux systèmes à distance. Aujourd'hui, les 1600 employés sont tous en mesure de travailler à distance. Pour les forces de police de la ville, permettre l'accès à des données sensibles sur les antécédents criminels signifie que les systèmes doivent respecter des directives fédérales strictes, notamment la politique de sécurité des services d'information de la justice pénale (CJIS) et la norme fédérale de traitement de l'information (FIPS) qui s'y rapporte. Le respect de la CJIS et de la FIPS est contrôlé par un audit fédéral annuel. Sans respect de la norme, la police est limitée dans les informations auxquelles elle a accès sur le terrain. En fin de compte, la ville devait être en mesure de fournir un accès sécurisé et conforme à tous les services de la ville.

La solution ? Au risque de sonner comme un disque rayé, nous sommes revenus à la cohérence. L'intégration de politiques de sécurité cohérentes et vérifiables dans la chaîne de production de CI/CD simplifie la conformité, en s'attaquant à un obstacle majeur qui ralentit l'adoption des pratiques et des outils DevOps.

Lorsque les applications sont construites et déployées, le flux de travail CI/CD garantit qu'elles sont déployées de manière protégée et conforme à chaque fois. 

Quelle que soit votre stratégie, l'objectif doit être de trouver comment déployer et gérer les applications de manière cohérente dans tous les silos de votre infrastructure.

REGARDER VERS L'AVENIR

Il ne fait aucun doute que les applications prolifèrent. Certains professionnels de l'informatique pourraient utiliser les termes d'informatique « de l'ombre » ou « renégate » parce que nombre de ces applications sont introduites dans l'organisation par des utilisateurs professionnels plutôt que par l'informatique. Mais les termes péjoratifs ne règlent pas les problèmes qui se posent lorsque les utilisateurs professionnels prennent en main l'acquisition (ou la création) d'applications. Il faut plutôt considérer l'informatique comme un partenariat entre les utilisateurs et l'informatique pour essayer de réaliser au mieux la mission de l'entreprise.

La prolifération des applications exige un contrôle cohérent, automatisable et centralisé. Il est courant aujourd'hui que les entreprises aient leurs applications dispersées sur diverses plateformes. Dans le cloud. Dans leurs centres de données privés. Dans leurs locaux. Dans divers environnements SaaS. Les entreprises commencent à avoir une vue d'ensemble de leur portefeuille d'applications. Avec ce type de contrôle, les risques deviennent beaucoup plus faciles à gérer.

Le portefeuille de services d'applications large et complet et la plate-forme omniprésente de F5 permettent aux organisations de centraliser et de gérer des services de sécurité et d'infrastructure d'entreprise vérifiables dans divers environnements, réduisant ainsi le coût du changement et libérant les développeurs pour qu'ils puissent se concentrer sur l'innovation. 

EN SAVOIR PLUS

Blog

Il est 22 heures. Savez-vous où se trouvent vos applications ?

Les applications sont le moyen par lequel les entreprises fournissent des biens et des services. Bienvenue à l'ère du capital applicatif.

Webinaire

Gestion des applications multicloud d'entreprise avec F5

Un étalement d'applications ? Découvrez comment simplifier le déploiement cohérent d'une sécurité d'entreprise pour toutes vos applications.

Zone de solution

Simplifier la gestion des applications multicloud

Il est temps de mettre en place une stratégie de gestion des politiques qui soit adaptée à votre organisation et à vos applications. F5 peut vous aider.