S’appuyant sur le cloud, les API créent de la confusion et introduisent des risques dans le développement logiciel

  • FrançaisFrançais


  • Les entreprises réclament plus de structure, de processus et d’outils pour sécuriser leur développement logiciel alors qu’elles se déplacent de plus en plus vers des applications hébergées dans le cloud et utilisent des interfaces de programmation d’applications pour accélérer le développement.

    Dans une nouvelle enquête menée par Radware et Osterman Research auprès de 200 professionnels de l’infrastructure d’application et de la sécurité des données dans le monde, des pluralités ou des majorités ont exprimé leur inquiétude face à un certain nombre de défis associés à la sécurité des applications. Moins de la moitié disent avoir intégré avec succès la sécurité dans leur pipeline d’interation continue / livraison continue, tandis que des nombres similaires ont exprimé un accord «fort» sur le fait que le travail de sécurité ne devrait pas interrompre le cycle de publication d’une application.

    Les résultats sont en grande partie conformes à la réalité selon laquelle la plupart des entreprises continuent de considérer la sécurité de l’information moins comme un objectif final en soi, et davantage à travers le prisme de l’impact direct sur des objectifs commerciaux plus larges.

    En décembre, Sandy Carielli, analyste principal chez Forrester Research, a noté que pour la plupart des équipes de développement, «leur objectif… est de mettre rapidement le produit entre les mains de leurs clients», et la sécurité est secondaire par rapport à ces besoins.

    «Du point de vue de l’équipe de développement, ils veulent les outils et les processus qui aideront à accélérer cela et cela signifie qu’ils veulent plus d’open source, ils veulent plus d’automatisation et ils veulent des cycles de publication plus rapides», a déclaré Carielli lors d’un discours en décembre. 15, 2020 événement Web sur la sécurité des applications. «Dans le même temps, les logiciels et les applications sont un élément essentiel de la mise sur le marché du produit, ils sont également un moyen pour les attaquants.»

    Les entreprises devront réévaluer ce que signifie la sécurisation de leurs applications et de leur code: 70% des applications de production sont désormais hébergées dans des clouds privés ou publics. Cependant, l’inverse est vrai pour les logiciels en développement: près de 70% sont construits dans des centres de données sur site ou dans un cloud privé contrôlé par l’organisation.

    Ce changement entraîne le retour d’un débat familier et apparemment éternel sur la confiance et la sécurité dans le cloud. Un peu plus d’un répondant sur quatre a déclaré faire entièrement confiance à ses fournisseurs de cloud pour sécuriser ses applications et ses données, tandis que de nombreuses entreprises ont déclaré que leur compréhension de la façon d’appliquer les principes de sécurité à un cloud public empirait à mesure qu’ils migraient leurs systèmes et leurs actifs. .

    Selon l’enquête, au moins 10% ont indiqué une confusion quant à l’entité responsable des défaillances de sécurité qui ont entraîné la violation, tandis que d’autres ont déclaré que la même confusion les a rendus incertains quant à savoir s’ils ont subi une violation ou non.

    John Kinsella, architecte en chef de la société de cyber-cloud Accurics, a déclaré à SC Media dans un e-mail que «si les développeurs sont de plus en plus habitués à développer pour le cloud, changer ses habitudes de développement nécessite un niveau de confort supérieur.

    «Chaque fois que ce développement se produit dans un contexte différent de celui de la production, cela crée une opportunité de confusion», a déclaré Kinsella. «Les développeurs doivent comprendre le contexte dans lequel l’application sera exécutée et la sécurité doit garantir que les tests sont effectués dans le contexte approprié. Les services cloud et les API évoluant fréquemment au fur et à mesure que de nouveaux produits sont lancés et mis à jour, rester à jour avec ces services peut être un travail considérable. »

    Les organisations devront également faire face à l’impact de se pencher davantage sur les API pendant le cycle de développement logiciel. Bien que ces API soient «faciles à utiliser et à consommer» et permettent une communication plus rapide entre les systèmes pendant le développement, beaucoup exposent également ces mêmes applications à des menaces à une gamme de menaces Internet.

    C’est clairement dans l’esprit des équipes de sécurité, car près de 60% des répondants ont déclaré que la sécurité des API est un domaine dans lequel ils prévoient d’investir massivement en 2021. Gagner en visibilité sur les événements de sécurité, lutter contre les abus d’API et une meilleure cohérence des politiques multiplateformes étaient tous répertoriés comme capacités souhaitées. Un répondant sur sept a déclaré n’avoir «aucun contrôle sur les services tiers qui traitent ses données sensibles» et des chiffres similaires ont déclaré qu’ils n’avaient même aucune visibilité sur les applications qui le faisaient.

    Kinsella a déclaré que les API sont l’un des principaux vecteurs d’attaque au cours du cycle de développement logiciel à la fois parce qu’elles sont «omniprésentes» dans les applications cloud natives et parce qu’elles représentent des «fruits à portée de main» pour les attaquants.

    «Cela signifie qu’il faudra un partenariat solide entre le développement et la sécurité afin de garantir un inventaire complet et à jour de toutes les API utilisées dans les différentes applications de l’organisation», a-t-il déclaré. «Les solutions de sécurité d’API arrivent encore à maturité, les organisations devraient donc rechercher des fournisseurs ou des outils open source capables d’offrir des capacités de découverte d’API en plus de l’analyse automatisée des API.»

    Parmi les autres résultats de l’enquête Radware, on peut citer que les technologies adoptées pour améliorer la sécurité de leurs applications, l’approvisionnement et les tests automatisés, la conteneurisation et des outils tels que l’orchestration de la sécurité et la réponse automatisée (SOAR) étaient les plus populaires. Les tests automatisés et la conteneurisation en particulier étaient considérés comme importants par le personnel informatique de sécurité et non, tandis que des outils tels que SOAR sont de plus en plus considérés comme un moyen pour les équipes de sécurité débordées de maîtriser l’avalanche de nouveaux événements de sécurité et d’alertes qu’ils traitent. une base quotidienne. Cela dit, de nombreuses organisations continuent de faire face à des problèmes de maturité dans leur propre environnement de sécurité qui rendent une adoption plus large difficile ou peu pratique.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *