Comprendre la sécurité informatique

La sécurité informatique protège l'intégrité des technologies de l'information comme les systèmes, les réseaux et les données informatiques contre les attaques, les dommages ou les accès non autorisés. Pour préserver leur compétitivité dans le contexte de la transformation numérique, les entreprises doivent comprendre comment adopter des solutions de sécurité informatique qui sont intégrées dès la phase de conception. En anglais, on utilise l'expression « shift security left », qui signifie littéralement « placer la sécurité à gauche ». En d'autres termes, il faut veiller à intégrer au plus tôt la sécurité dans l'infrastructure et dans le cycle de vie des produits. Ainsi, elle sera à la fois proactive et réactive.

La sécurité continue repose sur un système régulier de feedback et d'adaptation qui est généralement géré au moyen de points de contrôle automatisés. Grâce à l'automatisation, le feedback est rapide et efficace. Il ne ralentit pas le cycle de vie du produit. Cette méthode d'intégration de la sécurité du réseau permet de mettre en œuvre les mises à jour et les réponses aux incidents rapidement et globalement dans un environnement en constante évolution.

Traditionnellement, la sécurité informatique et la cybersécurité consistaient avant tout à renforcer, maintenir et contrôler le périmètre des datacenters, mais aujourd'hui ce périmètre tend à disparaître. Les méthodes de développement, de déploiement, d'intégration et de gestion des systèmes informatiques changent profondément. Avec l'arrivée des clouds publics et hybrides, les responsabilités en matière de sécurité des données et de conformité réglementaire sont désormais partagées entre différents fournisseurs. L'adoption massive des conteneurs a fait surgir le besoin d'instaurer de nouvelles méthodes d'analyse, de protection et de mise à jour de la distribution des applications. Les applications mobiles fonctionnent sur une multitude d'appareils différents et l'infrastructure repose de plus en plus sur des logiciels, plutôt que sur du matériel. Ces réseaux d'apareils et de processus plus complexes peuvent augmenter les risques de sécurité comme les logiciels malveillants ou les menaces internes. Résultat : les méthodes traditionnelles de gestion de la sécurité sont dépassées. Pour suivre le rythme de la transformation numérique, les services et programmes de sécurité informatique doivent être adaptés afin que celle-ci soit continue, intégrée et flexible.

Pour assurer la sécurité, certaines entreprises recrutent un responsable de la sécurité des informations métier. Ces responsables sont intégrés à l'équipe métier et sont impliqués dans le cycle de vie des produits, de leur conception à leur adoption. Avec l'aide récurrente d'analystes de la sécurité et sous la direction des responsables de la sécurité des systèmes d'information, ils doivent s'assurer que les initiatives et les enjeux de sécurité sont pris en compte et gérés à toutes les phases, en trouvant le juste équilibre entre sécurité et risques pour l'entreprise afin que la distribution du produit soit à la fois rapide et sûre.

SELinux (Security-Enhanced Linux) est une architecture de sécurité pour systèmes Linux® qui permet aux administrateurs de mieux contrôler les accès au système d'information. Cette architecture a initialement été conçue par la NSA, l'agence de sécurité nationale des États-Unis, comme une série de correctifs pour le noyau Linux sur la base de la structure LSM (Linux Security Modules).

SELinux a été distribué à la communauté Open Source en 2000 et intégré à la version en amont du noyau Linux en 2003.

Le modèle Zero Trust, ou « zéro confiance », est une approche de la conception des architectures de sécurité réseau basée sur le principe suivant : aucune interaction n'est fiable au départ. Cette approche diffère de celle des architectures traditionnelles où une communication est réputée fiable dès lors qu'elle est émise derrière un pare-feu. Plus précisément, le modèle Zero Trust vise à combler les failles des architectures de sécurité qui s'appuient sur des modèles de confiance implicite et une authentification à un seul facteur.

Le récent succès de cette approche est dû à l'évolution des menaces informatiques au niveau mondial. Les activités confinées au réseau ne peuvent plus être automatiquement considérées comme sans danger. Les groupes de cybercriminels bien organisés recrutent parfois des taupes au sein d'une entreprise et trouvent constamment de nouvelles failles dans l'enceinte externe des architectures de sécurité traditionnelles. De plus, les services de piratage et plateformes de RaaS (Ransomware-as-a-Service) sont aujourd'hui plus accessibles, ce qui simplifie les nouvelles opérations de cybercriminalité motivées par l'appât du gain. Toutes ces cybermenaces peuvent potentiellement conduire à des vols de données importantes, perturber l'activité des entreprises et les transactions commerciales, et affecter la vie quotidienne.

Le modèle DevSecOps associe les pratiques DevOps et les stratégies de sécurité. Les entreprises qui l'adoptent peuvent renforcer la sécurité informatique et réduire l'exposition aux risques. Avec ce modèle, les entreprises peuvent sécuriser leurs environnements logiciels plus vite, à plus grande échelle et de manière plus complète qu'avec des stratégies de sécurité traditionnelles.

Les conteneurs facilitent la création, la mise en paquets et la promotion d'une application ou d'un service dans différents environnements et cibles de déploiement. Ils peuvent cependant être difficiles à sécuriser. À mesure que les entreprises les adoptent, les équipes de sécurité doivent combattre de nouveaux modèles d'adversaires et sécuriser de nouveaux composants d'infrastructure. 

Les politiques de sécurité et les listes de contrôle statiques ne s'adaptent pas aux conteneurs de l'entreprise. La chaîne d'approvisionnement nécessite davantage de services en matière de politiques de sécurité. Les équipes doivent trouver un équilibre entre les besoins du réseau et les impératifs de gouvernance liés aux conteneurs. Pour garantir l'efficacité d'un programme de sécurité des conteneurs au niveau de l'entreprise, il faut mettre en œuvre des contrôles clés lors des phases de création, de déploiement et d'exécution du cycle de vie des conteneurs, ainsi qu'au sein de l'infrastructure sous-jacente. 

Vous ne savez pas par où commencer ?

Grâce à cette série de webinars, profitez du point de vue d'experts sur la nécessité et la valeur de la sécurité, pour toute la pile d'applications et le cycle de vie des conteneurs.

En savoir plus sur la sécurité des conteneurs

Si de nombreux utilisateurs comprennent les avantages des services cloud, ils se laissent souvent dissuader par les menaces qui le guettent. Nous sommes bien conscients qu'il est difficile d'appréhender quelque chose qui existe quelque part entre des ressources immatérielles envoyées sur Internet et un serveur physique. Il s'agit d'un environnement dynamique où tout évolue en continu, à l'instar des menaces qui pèsent sur la sécurité.

L'adoption des technologies cloud-native génère de nouveaux défis en matière de sécurité et offre aussi des possibilités d'amélioration des stratégies existantes. Une stratégie de sécurité cloud-native efficace cible des objectifs qui doivent permettre aux équipes d'améliorer la distribution des logiciels tout en créant des systèmes plus sûrs. 

Les environnements de cloud hybride offrent aux utilisateurs de nombreux choix et un haut niveau de flexibilité. C'est un moyen de préserver les informations sensibles ou critiques hors du cloud public tout en tirant parti de ce dernier pour les données qui ne présentent pas le même niveau de risques. Découvrez les principaux problèmes de sécurité des clouds hybrides et les outils qui permettent de les résoudre. 

Comme la plupart des individus, vous ne cachez probablement pas vos économies sous votre matelas. Vous placez plutôt votre argent dans un lieu sûr (une banque) et utilisez différentes méthodes pour autoriser et authentifier les paiements. La sécurité des API fonctionne selon le même principe. Les API doivent s'exécuter dans un environnement fiable qui applique des politiques d'authentification et d'autorisation.

Les bonnes pratiques en matière de sécurité des API comprennent notamment l'utilisation de jetons, le chiffrement, les signatures, les quotas, la limitation des requêtes, ainsi que l'utilisation d'une passerelle d'API. Et pour sécuriser efficacement des API, il faut d'abord savoir les gérer correctement.

Un logiciel malveillant désigne un logiciel destiné à nuire à l'utilisateur. Rançongiciels, logiciels publicitaires ou botnets, les logiciels malveillants cherchent à détruire des données, à dérober des informations confidentielles, et entraînent la perte de nombreuses heures de productivité. Un logiciel malveillant, qui passe parfois par des tentatives d'hameçonnage, touche non seulement l'ordinateur ou l'appareil qu'il infecte en premier, mais potentiellement aussi tous les appareils avec lesquels celui-ci communique. Grâce à une stratégie de sécurité informatique efficace, les entreprises peuvent limiter leurs vulnérabilités et se protéger contre les attaques de logiciels malveillants.

Kubernetes (« k8s » ou « kube ») est une plateforme Open Source d'orchestration des conteneurs qui automatise de nombreux processus manuels associés au déploiement, à la gestion et à la mise à l'échelle des applications conteneurisées. Pour pouvoir mettre en place des mesures préventives et gérer les risques, les équipes de sécurité informatique doivent suffisamment bien maîtriser Kubernetes et les technologies cloud-native. 

La sécurité native pour Kubernetes permet d'effectuer des analyses plus rapides et détaillées ainsi que de simplifier l'exploitation, avec à la clé une réduction du temps, du travail et du personnel nécessaire à la mise en œuvre de la sécurité.

L'acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique. Une CVE désigne également le numéro d'identification CVE attribué à une faille de sécurité. Les CVE aident les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des réseaux informatiques.

L'émergence des conteneurs et des technologies de cloud hybride a fortement contribué à la complexification de la sécurité. Les équipes de sécurité ont de plus en plus de mal à suivre l'évolution des risques, des exigences de conformité, des outils et des architectures qu'ont provoquée ces technologies. Aujourd'hui, les politiques de sécurité réseau classiques basées sur le périmètre ne suffisent plus. Les équipes de sécurité doivent revoir leur approche.

Red Hat suit une stratégie de défense en profondeur et multicouche, de type sécurité en tant que code. Cette approche permet aux clients de mettre en œuvre la sécurité dans l'intégralité du cycle de vie et de la pile d'applications et d'infrastructure.

Nous tenons à ce que vous adoptiez une stratégie de sécurité continue en toute confiance. C'est pourquoi nous adaptons les technologies Open Source aux besoins des entreprises.Notre objectif est d'aider votre entreprise à préserver sa compétitivité, sa flexibilité et sa capacité d'adaptation, tout en maintenant le niveau de sécurité informatique et de conformité réglementaire.

Notre modèle de souscription permet aux clients de bénéficier des services d'une équipe de spécialistes qui leur offre une assistance 24 h/24 et 7 j/7 en cas de problème ou de question concernant nos technologies. Voici les ressources que nous vous proposons pour vous aider, dans le cadre de vos solutions de sécurité Open Source.