The Doppler Quarterly (FRANÇAIS) Été 2016 | Page 20

Sécurité des applications
sur le cloud public
David Linthicum
La sécurité doit constamment changer et évoluer
pour répondre aux nouveaux risques, et ce n'est plus
seulement un problème pour la sécurité informatique
et l'équipe d'infrastructure. Les développeurs sont à
présent entrés dans la lutte.
Durant les 30 dernières années, la sécurité informa-
tique s'est focalisée sur l'infrastructure. Il suffisait
alors de simplement placer des couches de sécurité
autour de vos applications et données et le tour était
joué. Mais même si cela a un jour fonctionné, ce n'est
certainement plus le cas à présent. Avec les hackers
qui testent les limites des systèmes de sécurité de
manière quotidienne, la pression s'est déplacée sur
les équipes de développement qui doivent proposer
également une meilleure sécurité sur la couche d'ap-
plication. Et le passage de vos applications au cloud
public est encore une chose qui change la donne.
Le coût de ne pas intégrer la sécurité des applications
est faramineux. Home Depot, par exemple, a été impli-
qué dans une cyberattaque ayant fait la une et qui
ciblait ses terminaux de paiement. La faille de sécurité
a entraîné la divulgation d'environ 56 millions de
numéros de cartes de crédit et de débit. Multipliez ce
chiffre par le coût évalué par l'Institut Ponemon de
194 $ par fichier dévoilé lors de la violation des données
et vous pouvez imaginer l'énormité du risque. Ces
coûts incluent la recherche, la correction, la notifica-
tion aux personnes, la réparation d'usurpation d'iden-
tité et la surveillance de crédit, les pénalités, les inter-
ruptions des opérations habituelles, la perte d'activité
et les poursuites associées. Conclusion :
Les dollars que vous dépensez pour
vous protéger contre les failles de
sécurité qui peuvent faire couler
toute votre entreprise sont les meil-
leurs investissements de sécurité
que vous accomplirez cette année.
18 | THE DOPPLER | ÉTÉ 2016
D'un autre côté (positif), le passage de vos applica-
tions au cloud public ne signifie pas pour autant que
vous cédez un pouce de terrain concernant la sécu-
rité. En effet, les approches et les mécanismes acces-
sibles aux développeurs et administrateurs dans le
cloud public sont souvent meilleurs que les outils et
méthodes que vous utilisez au sein de l'entreprise.
Toutefois, dans le contexte du cloud, vous devez envisa-
ger la sécurité comme un concept systémique. L'époque
où vous pouviez simplement créer des barrières autour
des applications et des données et considérer que c’était
suffisant est révolue depuis longtemps. Posez simple-
ment la question à Home Depot, Sony, Target et aux
autres victimes des principales failles de sécurité pour
savoir si les approches traditionnelles de sécurité des
applications et données ont fonctionné pour eux. Voici
une solution fonctionnelle.
Les éléments basiques tout d'abord
Les développeurs qui créent des applications pour une
exécution sur les clouds publics, ou migrent et rema-
nient les applications pour le cloud, doivent se focaliser
sur quelques concepts de sécurité élémentaires : auto-
risation, audit, confidentialité et intégrité.
L'autorisation concerne la question : qu'êtes-vous auto-
risé à faire ? Ce processus gouverne les ressources et
opérations auxquelles l'utilisateur authentifié est auto-
risé à accéder. Les ressources incluent les fichiers, bases
de données, tableaux, lignes, etc. Les utilisateurs ont la
possibilité d'accéder à l'intégralité de la ressource, à une
partie de la ressource ou à aucune partie.
L'audit et l'enregistrement garantissent qu'un utilisa-
teur ne puisse pas refuser une opération ou initier
une transaction sans enregistrement de l'activité.
Dans les applications cloud, cela signifie que vous
enregistrez l'utilisation de l'application ou du stoc-
kage de données pour des raisons de conformité ou
autres raisons juridiques. L'audit et l'enregistrement
vous permettent aussi de détecter les modèles d'uti-
lisation qui peuvent indiquer une faille et de prendre
ainsi des mesures de protection.