The Doppler Quarterly (FRANÇAIS) Été 2016 - Page 20

Sécurité des applications sur le cloud public David Linthicum La sécurité doit constamment changer et évoluer pour répondre aux nouveaux risques, et ce n'est plus seulement un problème pour la sécurité informatique et l'équipe d'infrastructure. Les développeurs sont à présent entrés dans la lutte. Durant les 30 dernières années, la sécurité informa- tique s'est focalisée sur l'infrastructure. Il suffisait alors de simplement placer des couches de sécurité autour de vos applications et données et le tour était joué. Mais même si cela a un jour fonctionné, ce n'est certainement plus le cas à présent. Avec les hackers qui testent les limites des systèmes de sécurité de manière quotidienne, la pression s'est déplacée sur les équipes de développement qui doivent proposer également une meilleure sécurité sur la couche d'ap- plication. Et le passage de vos applications au cloud public est encore une chose qui change la donne. Le coût de ne pas intégrer la sécurité des applications est faramineux. Home Depot, par exemple, a été impli- qué dans une cyberattaque ayant fait la une et qui ciblait ses terminaux de paiement. La faille de sécurité a entraîné la divulgation d'environ 56 millions de numéros de cartes de crédit et de débit. Multipliez ce chiffre par le coût évalué par l'Institut Ponemon de 194 $ par fichier dévoilé lors de la violation des données et vous pouvez imaginer l'énormité du risque. Ces coûts incluent la recherche, la correction, la notifica- tion aux personnes, la réparation d'usurpation d'iden- tité et la surveillance de crédit, les pénalités, les inter- ruptions des opérations habituelles, la perte d'activité et les poursuites associées. Conclusion : Les dollars que vous dépensez pour vous protéger contre les failles de sécurité qui peuvent faire couler toute votre entreprise sont les meil- leurs investissements de sécurité que vous accomplirez cette année. 18 | THE DOPPLER | ÉTÉ 2016 D'un autre côté (positif), le passage de vos applica- tions au cloud public ne signifie pas pour autant que vous cédez un pouce de terrain concernant la sécu- rité. En effet, les approches et les mécanismes acces- sibles aux développeurs et administrateurs dans le cloud public sont souvent meilleurs que les outils et méthodes que vous utilisez au sein de l'entreprise. Toutefois, dans le contexte du cloud, vous devez envisa- ger la sécurité comme un concept systémique. L'époque où vous pouviez simplement créer des barrières autour des applications et des données et considérer que c’était suffisant est révolue depuis longtemps. Posez simple- ment la question à Home Depot, Sony, Target et aux autres victimes des principales failles de sécurité pour savoir si les approches traditionnelles de sécurité des applications et données ont fonctionné pour eux. Voici une solution fonctionnelle. Les éléments basiques tout d'abord Les développeurs qui créent des applications pour une exécution sur les clouds publics, ou migrent et rema- nient les applications pour le cloud, doivent se focaliser sur quelques concepts de sécurité élémentaires : auto- risation, audit, confidentialité et intégrité. L'autorisation concerne la question : qu'êtes-vous auto- risé à faire ? Ce processus gouverne les ressources et opérations auxquelles l'utilisateur authentifié est auto- risé à accéder. Les ressources incluent les fichiers, bases de données, tableaux, lignes, etc. Les utilisateurs ont la possibilité d'accéder à l'intégralité de la ressource, à une partie de la ressource ou à aucune partie. L'audit et l'enregistrement garantissent qu'un utilisa- teur ne puisse pas refuser une opération ou initier une transaction sans enregistrement de l'activité. Dans les applications cloud, cela signifie que vous enregistrez l'utilisation de l'application ou du stoc- kage de données pour des raisons de conformité ou autres raisons juridiques. L'audit et l'enregistrement vous permettent aussi de détecter les modèles d'uti- lisation qui peuvent indiquer une faille et de prendre ainsi des mesures de protection.