vendredi, 29 mars 2024

La sécurité survit à la hache budgétaire

Crédit : Dreamstime

La bonne nouvelle est que récession ou pas, la sécurité reste un peu une dépense incompressible pour les DSI, selon de toutes nouvelles informations de l’étude de recherche de Morgan Stanley.

Le problème est que rien de tout cela ne fonctionnera si ces mêmes DSI ne corrigent pas leur application logicielle. Le vice-président d’Amazon Web Solutions (AWS), Matt Wilson, a tout à fait raison lorsqu’il affirme qu’« il est du devoir du consommateur d’une application logicielle déployée dans des systèmes critiques pour la sécurité ou la fiabilité de la corriger en toute sécurité (pour ne citer que quelques éléments), ou conserver les services nécessaires à leur maintenance. »

Il est également vrai qu’une application logicielle non corrigée, open source ou autre, reste le vecteur d’attaque le plus important pour les pirates. C’est peut-être un problème plus important pour l’open source, non pas parce qu’il n’est naturellement pas sécurisé (l’inverse est plus proche de la réalité), mais en raison du fait qu’il est si largement utilisé.

Nous pouvons continuer à injecter de l’argent dans la sécurité open source, mais si les entreprises ne prennent pas la peine de repérer les logiciels dont ils dépendent, dans quelle mesure cela les aidera-t-il ?

Plus d’argent, moins de problèmes ?

Au départ, heureusement : les DSI, une fois réactifs dans la priorisation de la sécurité les coûts, finissent maintenant par être proactifs. Selon la citation de Gartner, les entreprises ont dépensé plus de 150 milliards de dollars en articles de sécurité en 2021. C’est beaucoup d’argent, et il ne semble pas que cela va diminuer en 2022 ou au-delà.

Lorsqu’on leur a demandé quels emplois informatiques ils étaient fondamentalement susceptibles d’investir si l’économie tombait en récession, les DSI ont placé la sécurité en tête de liste, à la fois pour la résistance aux coupes (avant tout le reste, consistant en la transformation numérique, une bonne seconde) et pour la croissance des dépenses, juste derrière le cloud computing. Cela marque un véritable développement, étant donné que la sécurité était autrefois quelque chose que les entreprises déclaraient juste apprécier après avoir été frappées par une violation.

Où les entreprises investissent-elles ? Selon certains rapports, des fonds sont acheminés vers la gestion des identités et des accès, la sécurité de la messagerie et la sécurité des réseaux, entre autres. Selon IDC, l’argent va aux services de sécurité gérés, ainsi qu’au filtrage automatisé des applications, et plus encore.

L’automatisation semble raisonnable. Les microservices et autres tendances informatiques ont une sécurité d’entreprise considérablement complexe, même s’ils ont fourni de nombreux avantages, comme je l’écrivais en 2020 : « Dans un monde où les développeurs construisent et où tout le monde est chargé de ranger après eux, la sécurité va toujours être une bataille, qu’il s’agisse de microservices ou d’applications monolithiques. »

L’automatisation peut aider à réduire la probabilité que les concepteurs ou les responsables des opérations passent à côté des tests et des correctifs nécessaires pour un logiciel donné.

Cela finit par être beaucoup plus crucial en tant qu’entreprise utiliser des niveaux croissants d’applications logicielles open source sans toujours élaborer de procédures pour les corriger et les conserver. L’application logicielle open source offre sans doute une procédure exceptionnelle pour sécuriser les logiciels, mais sans correctif, elle peut être aussi mauvaise que n’importe quel logiciel propriétaire non corrigé.

Lorsque les utilisateurs voient de faux en-têtes tels que « Le code source ouvert est dangereux et risqué en raison de son utilisation généralisée, selon un rapport », il est utile de garder à l’esprit le contre-argument de Steven J. Vaughn-Nichols : « Ce n’est pas le utilisation [de l’open source qui développe des risques de sécurité], c’est l’utilisation irresponsable qui est le problème. »

Les gens font partie de la procédure de sécurité

Nous pourrions orienter vers une préoccupation plus essentielle. Comme le présume Chris Goettl d’Ivanti, « les acteurs des menaces de sécurité iront toujours plus vite dans le développement d’exploits de sécurité que de nombreuses entreprises qu’ils ciblent ».

Combien de temps plus rapide ? Eh bien, selon les recherches de RAND, bien qu’il ne faille que 22 jours à un acteur de danger pour la sécurité pour capitaliser sur une menace reconnue, ce danger peut rester sans correctif pendant environ 7 ans. Cela peut être dû au fait que du code non maintenu est encore utilisé (assez courant) ou simplement au fait que l’entreprise arrête de travailler pour détecter une vulnérabilité publiquement connue.

Avec tout notre nouvel intérêt pour le financement d’applications logicielles de sécurité , cela me fait me demander si nous ne devrions pas investir plus d’argent dans le développement d’un état d’esprit de sécurité.

La posture de sécurité d’une entreprise est tout aussi bonne que les personnes qui l’administrent. La structure de sécurité des logiciels ouverts est préférable de mettre l’éducation à la sécurité en premier sur sa liste d’emplacements qui doivent être résolus pour améliorer la sécurité de l’open source, bien que les mêmes concepts soient principalement utilisés pour n’importe quelle application logicielle.

Tout récemment, certains De grandes entreprises ont fait d’énormes paris sur la sécurité open source, engageant 150 millions de dollars pour aider à protéger l’infrastructure open source cruciale. C’est une belle initiative mais je pense qu’elle ne va pas assez loin.

La sécurité concerne constamment les individus et les processus, qui peuvent tous deux être aidés par l’automatisation, mais à moins que les personnes chargées de protéger leurs logiciels d’entreprise ne soient formées à la manière de considérer la sécurité en open source ou autrement, aucune quantité de l’argent va nous acheter la sécurité.

En effet, comme l’écrit Alissa Irei, il faut une formation en plus d’un arrangement dans l’ensemble de l’entreprise pour déterminer quels systèmes doivent être prioritaires pour le maintien de la sécurité. Dans le court article d’Irei, Doug Cahill, analyste senior chez Business Technique Group, souligne qu' »il n’y a qu’un flot de correctifs.

Plus l’organisation est grande et hétérogène, moins il est utile que tous les systèmes seront présents à tout moment. » Face au déluge de systèmes nécessitant des correctifs, les entreprises avisées prendront du recul, examineront et hiérarchiseront l’application logicielle qui prend en charge les applications les plus critiques.

Il peut également être vrai qu’un correctif peut produire plus de problèmes qu’il résout en rompant la compatibilité et en déconnectant les applications destinées aux clients. Dans ces endroits, comme toujours, la clé est la formation des personnes et le développement des processus.

C’est une longue façon de dire qu’avant que les utilisateurs ne commencent à vanter des dépenses énormes pour la sécurité, assurez-vous qu’ils les dépensent aux bons endroits. Pour voir comment ils s’en sortent, examinez leurs réponses à ces 9 préoccupations concernant la sécurité du cloud.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici