vendredi, 29 mars 2024

De hacks et de correctifs

En dehors du marché de l’assurance, peu de gens ont probablement vu que Lloyd’s of London « ne couvrira plus les retombées des cyberattaques échangées entre États-nations ». Il serait facile de l’oublier, sauf que Lloyd’s est un important assureur international ; ses actions auront une séquence causale. C’est actuellement le cas que les attaques de ransomwares à travers le monde ont en fait incité les membres du syndicat Lloyd’s à facturer des primes plus élevées tout en réduisant de près de 50 % la protection des entreprises de base.

Cela ne s’arrête pas non plus à l’assurance. Il y a dix ans, le secrétaire américain à la Défense, Leon Panetta, avait averti que le cyberterrorisme était un danger pour la sécurité nationale. Cela pourrait constituer un risque direct pour des installations telles que des barrages ou des réseaux électriques, ou pourrait être utilisé pour financer de mauvais acteurs. Selon une citation, la Corée du Nord a volé près de 400 millions de dollars sur les échanges cryptographiques l’année dernière. Une grande partie de ce piratage est facilitée par les trous ouverts que nous laissons dans l’infrastructure de sécurité en raison de logiciels open source mal couverts.

Nous vivons à une époque où tout peut et va se faire pirater, à un coût considérable pour ceux qui sont instantanément et indirectement inclus. Que pouvons-nous faire ?

Rester dans le cloud

L’investisseur de Kleiner Perkins, Bucky Moore, suggère que les clouds seront « désintermédiés » par des fournisseurs sans serveur comme Vercel, poussant les fournisseurs de cloud à se concentrer davantage sur améliorer les « primitives » de base comme le calcul, le stockage, etc. Peut-être. C’est quelque chose que l’ancien directeur technique de Better.com, Erik Bernhardsson, a également supposé récemment, et cela semble être une analyse abordable.

Même si nous abandonnons la première partie de l’argument de Moore, il y a fort à parier que les nuages ​​continueront d’acheter de bien meilleurs services, consistant en la sécurité. En réalité, vous n’avez pas besoin de revenir trop en arrière sur les pages d’actualités technologiques pour trouver la dernière panne chez Amazon Web Solutions, Microsoft Azure ou Cloud. L’interruption d’AWS en décembre 2021 qui a supprimé une grande partie du Web a été déclenchée par un problème de gadget réseau. En 2017, une autre interruption a été provoquée par l’erreur d’un travailleur. Il est très possible que certaines pannes chez AWS ou d’autres clouds soient déclenchées par de mauvais acteurs qui agissent avec une élégance croissante.

Les fournisseurs de services cloud sont toujours un pari beaucoup plus sûr que d’essayer de gérer et de protéger tous vos propres logiciels et installations matérielles. Oui, tu es bon. Non, vous n’êtes pas si bon.

Il n’est pas non plus temps d’essayer d’atteindre la durabilité des applications via de nombreux fournisseurs de cloud. Le multicloud est un excellent concept pour votre carrière individuelle ; ce n’est pas nécessairement une excellente méthode pour une entreprise qui a probablement du mal à maîtriser un cloud, et encore moins 3. Quoi qu’il en soit, le fait est que les clouds restent une excellente source de sécurité relative dans un monde qui est tout sauf protégé.

Assumez la responsabilité de vos dépendances

Tandis que Moore compose, bon nombre des plus gros problèmes de sécurité de l’année précédente, notamment « Solarwinds, CodeCov et Log4j, étaient généralement enracinés dans des acteurs extrêmement avancés utilisant des exploits zero-day pour insérer du code destructeur dans leur application logicielle, qui a finalement été utilisé pour infiltrer les environnements des utilisateurs finaux de ce logiciel. Vous ne pouvez pas faire grand-chose pour inspecter le code de Solarwinds pour vous assurer que tout va bien (honnêtement, personne n’a vraiment le temps et peu ont la capacité de le faire), mais il y a beaucoup que nous pouvons faire pour garantir que nous avons affaire à un code de confiance.

Une méthode cruciale consiste à utiliser une approche de sécurité zéro confiance, comme l’a en fait expliqué le CTO de Kong, Marco Palladino. La confiance zéro est particulièrement vitale à mesure que les entreprises évoluent vers des architectures basées sur des microservices. Il suppose qu’il n’y a pas de coffre-fort « à l’intérieur de la zone frontalière » et vérifie en permanence l’identité et les droits des individus, des appareils et des services. En définissant la sécurité au niveau de l’artefact et non du référentiel (comme dans GitHub), nous pouvons signer numériquement à la source et demander à l’utilisateur de cet artefact de le valider.

Ce n’est qu’une partie de l’option.

Compte tenu de l’étendue de l’open source dans toutes les applications logicielles (propriétaires, open source, etc.), un autre élément crucial de la sécurité consiste à s’approprier cette partie de la chaîne d’approvisionnement de votre application logicielle. Non, cela n’équivaut pas à « envoyer un e-mail aux mainteneurs du logiciel open source dont vous dépendez et dont vous avez besoin », comme l’a fait récemment une entreprise multimilliardaire au célèbre développeur open source Daniel Stenberg. C’est du mauvais genre. Il est également peu probable que vous obteniez ce que vous désirez.

Une bien meilleure façon est d’investir dans les personnes qui développent et maintiennent l’application logicielle dont vous dépendez. Souvent, cela signifie payer les mainteneurs de ces emplois d’une manière ou d’une autre, mais pas constamment. Il s’avère que les inspirations des individus qui développent des applications logicielles open source varient.

Une autre recommandation est de s’impliquer. Pour le designer Diego Elio Pettenò, cela signifie « si j’utilise une bibliothèque [open source] et que quelque chose est cassé, c’est mon problème de le résoudre, pas d’insister pour qu’une autre personne le fasse ». Tout le monde ne peut pas le faire, évidemment, car tout le monde n’aura pas le temps ou l’aptitude. Cependant, il est irresponsable de dépendre d’une application de logiciel libre sans prendre des mesures pour assurer la sécurité de ce logiciel, ce qui inclut au minimum de le maintenir à jour et corrigé, et plus largement pourrait (et doit) impliquer de trouver des moyens de soutenir ceux qui le créent et le préservent .

En somme, la sécurité n’est pas quelque chose qui se produit par magie. Oui, construire sur des plates-formes cloud raisonnablement sécurisées est un début, mais ce n’est que cela – un début. Pour véritablement réaliser la sécurité des applications logicielles, les entreprises doivent se tourner vers de tout nouveaux modèles de sécurité comme absolument aucune confiance, alors même que nous nous associons de plus en plus aux quartiers open source qui développent une grande partie des applications logicielles sur lesquelles nos entreprises sont construites.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici