Comprendre la sécurité informatique

La sécurité informatique protège l'intégrité des technologies de l'information comme les systèmes, les réseaux et les données informatiques contre les attaques, les dommages ou les accès non autorisés. Pour préserver leur compétitivité dans le contexte de la transformation numérique, les entreprises doivent comprendre comment adopter des solutions de sécurité informatique qui sont intégrées dès la phase de conception. En anglais, on utilise l'expression « shift security left », qui signifie littéralement « placer la sécurité à gauche ». En d'autres termes, il faut intégrer au plus tôt la sécurité dans l'infrastructure et dans le cycle de vie des produits. Ainsi, elle sera à la fois proactive et réactive.

La sécurité continue repose sur un système régulier de rétroaction et d'adaptation qui est généralement géré au moyen de points de contrôle automatisés. Grâce à automatisation, le feedback est rapide et efficace. Il ne ralentit pas le cycle de vie du produit. Cette méthode d'intégration de la sécurité du réseau permet de mettre en œuvre les mises à jour et les réponses aux incidents rapidement et globalement dans un environnement en constante évolution.

Avant, l'informatique et la cybersécurité consistaient avant tout à renforcer le périmètre des datacenters, à l'entretenir ainsi qu'à créer des politiques, mais aujourd'hui, ce périmètre tend à disparaître. La façon de développer, déployer, intégrer et gérer les processus informatiques a considérablement changé. En effet, avec le cloud public et hybride la responsabilité en matière de conformité réglementaire et de sécurité des données est partagée entre plusieurs fournisseurs. L'adoption des conteneurs à grande échelle implique le recours à de nouvelles méthodes pour analyser, sécuriser et mettre à jour la distribution des applications. Les applications mobiles fonctionnent sur de nombreux appareils différents, et une partie croissante de l'infrastructure repose sur des logiciels plutôt que sur du matériel. Plus les réseaux d'appareils ou les processus sont complexes, plus les risques augmentent, que ce soit au niveau des menaces internes ou des programmes malveillants.

Résultat : les méthodes traditionnelles de gestion de la sécurité ne suffisent plus. Avec la transformation numérique, les services et programmes de sécurité informatique doivent évoluer. Ce nouvel environnement exige une sécurité flexible, continue et intégrée.

Pour assurer la sécurité, certaines entreprises recrutent un responsable de la sécurité de l'information métier, ou BISO. Ce spécialiste intègre l'équipe métier et est impliqué dans le cycle de vie des produits, de la conception au déploiement, jusqu'à la phase d'adoption. Souvent, le BISO travaille avec des analystes de la sécurité, sous la responsabilité du responsable de la sécurité des systèmes d'information (RSSI), pour s'assurer que les programmes et problèmes de sécurité sont gérés de façon réfléchie et que la question de la sécurité est intégrée à chaque étape. L'objectif est de trouver un équilibre entre la sécurité et les risques pour l'entreprise afin d'assurer une distribution rapide et efficace.

SELinux (Security-Enhanced Linux) est une architecture de sécurité pour Linux® qui permet aux équipes d'administration de mieux contrôler les accès aux systèmes d'information. Cette architecture a initialement été conçue par la NSA, l'agence de sécurité nationale des États-Unis, comme une série de correctifs pour le noyau Linux sur la base de la structure LSM (Linux Security Modules).

SELinux a été distribué à la communauté Open Source en 2000, puis intégré à la version en amont du noyau Linux en 2003.

Le modèle Zero Trust, ou « zéro confiance », est une approche de la conception des architectures de sécurité du réseau basée sur le principe qu'aucune interaction n'est fiable au départ. Cette approche diffère de celle des architectures traditionnelles où toute communication est réputée fiable dès lors qu'elle est émise derrière un pare-feu. Plus précisément, le modèle Zero Trust vise à combler les failles des architectures de sécurité qui s'appuient sur des modèles de confiance implicite et une authentification à un seul facteur.

Le récent succès de cette architecture est dû à l'évolution des cybermenaces au niveau mondial. Les activités confinées au réseau ne peuvent plus être automatiquement considérées comme sans danger. Les groupes de cybercriminels bien organisés recrutent parfois des taupes au sein d'une entreprise, et trouvent constamment de nouvelles failles dans l'enceinte externe des architectures de sécurité traditionnelles. De plus, les pirates et plateformes de RaaS (Ransomware-as-a-Service) sont aujourd'hui plus accessibles, ce qui simplifie les nouvelles attaques motivées par l'appât du gain. Toutes ces menaces peuvent conduire à des vols de données importantes, perturber l'activité des entreprises et les transactions commerciales et affecter la vie quotidienne.

L'approche DevSecOps est à l'intersection des pratiques DevOps et des stratégies de sécurité. Elle vise à renforcer la sécurité informatique et réduire les risques qui pèsent sur les environnements logiciels. Les entreprises qui adoptent cette méthode peuvent protéger leurs environnements plus rapidement, à plus grande échelle et de façon plus complète qu'avec les stratégies classiques.

Les conteneurs simplifient la création, la mise en paquets et la promotion d'une application ou d'un service dans plusieurs environnements et cibles de déploiement. Néanmoins, la sécurité des conteneurs comporte également son lot de défis. En effet, cette technologie s'accompagne de nouveaux risques et introduit de nouveaux composants d'infrastructure à protéger. 

Les politiques de sécurité et les listes de contrôle statiques ne s'adaptent pas aux conteneurs d'entreprise. La chaîne d'approvisionnement nécessite davantage de services en matière de politiques de sécurité. Les équipes doivent donc trouver l'équilibre entre les besoins de mise en réseau et les impératifs de gouvernance liés aux conteneurs. Pour garantir l'efficacité d'un programme de sécurisation des conteneurs en entreprise, il faut mettre en œuvre des contrôles clés pendant les phases de création, de déploiement et d'exécution, ainsi que sur l'infrastructure sous-jacente. 

Si de nombreux utilisateurs comprennent les avantages des services cloud, les risques en matière de sécurité dissuadent souvent les entreprises de les adopter. Ce n'est pas étonnant, car ce concept n'est pas facile à appréhender. Il associe des ressources immatérielles, Internet et des serveurs physiques, au sein d'un environnement dynamique où tout est en constante évolution, même les menaces.

L'adoption des technologies cloud-native génère de nouveaux défis en matière de sécurité, mais offre aussi des possibilités d'amélioration des stratégies de sécurité existantes. Une stratégie de sécurité cloud-native efficace doit permettre aux équipes de mieux distribuer leurs logiciels tout en renforçant les systèmes. 

Les environnements de cloud hybride donnent plus de choix et de flexibilité aux entreprises. En effet, elles peuvent conserver les données sensibles en interne et réserver le cloud public aux ressources qui ne présentent pas le même niveau de risques. Cet article présente quelques-uns des défis liés à la sécurité du cloud hybride, ainsi que les outils nécessaires pour les surmonter. 

En savoir plus sur la protection des environnements de cloud hybride

En général, il n'est pas recommandé de garder ses économies sous son matelas. La plupart des gens confient leur argent à des établissements de confiance, comme les banques, qui utilisent différentes méthodes pour autoriser et authentifier les paiements. La sécurité des API fonctionne sur le même principe, à savoir un environnement de confiance et des politiques d'authentification et d'autorisation.

Parmi les bonnes pratiques figurent l'usage des jetons, le chiffrement, les signatures, la définition de quotas, la limitation des requêtes et la mise en place d'une passerelle d'API. Toutefois, le niveau de sécurité des API dépend principalement de la qualité de la gestion.

Un logiciel malveillant désigne un logiciel destiné à nuire à l'utilisateur. Rançongiciels, logiciels publicitaires, botnets, etc., ces programmes sont conçus pour détruire des données, voler des informations personnelles ou encore faire perdre de nombreuses heures de travail. Souvent transmis par le biais d'attaques par hameçonnage, ils touchent non seulement l'ordinateur ou l'appareil par lequel ils s'infiltrent, mais potentiellement aussi tous les équipements avec lesquels celui-ci communique. Ces menaces sont sérieuses, mais la mise en œuvre de mesures de sécurité robustes contribue à réduire les vulnérabilités des entreprises et l'exposition aux cyberattaques.

Kubernetes (« k8s » ou « kube ») est une plateforme d'orchestration de conteneurs Open Source qui automatise de nombreux processus manuels associés au déploiement, à la gestion et à la mise à l'échelle des applications conteneurisées. Pour mettre en place des mesures préventives efficaces et gérer les risques, les équipes de sécurité informatique doivent bien connaître Kubernetes et les technologies cloud-native. 

La sécurité native pour Kubernetes fournit des informations plus exploitables, accélère les analyses et simplifie l'exploitation, ce qui réduit l'investissement nécessaire en temps, en efforts et en personnel pour protéger cet environnement.

L'acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique. Ce terme est aussi utilisé pour faire référence à l'identifiant CVE attribué à chaque faille. Les CVE aident les professionnels à coordonner leurs efforts afin de hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des réseaux informatiques.

La gestion des vulnérabilités désigne une pratique de sécurité informatique qui comprend l'identification, l'évaluation et la correction des failles de sécurité touchant les appareils, les réseaux et les applications, et dont l'objectif consiste à réduire les risques de cyberattaques et de failles. Avec un programme de gestion des vulnérabilités, les équipes de sécurité peuvent automatiser les processus de détection et de correction, notamment l'analyse et l'application des correctifs.

SPIFFE et SPIRE sont deux projets Open Source qui permettent de gérer les identités dans des environnements informatiques variés et dynamiques. SPIFFE est l'acronyme de Secure Production Identity Framework for Everyone. Il offre un moyen de structurer les identités et de les vérifier par le biais du chiffrement pour déterminer leur fiabilité. SPIRE est l'acronyme de SPIFFE Runtime Environment, soit l'environnement d'exécution de SPIFFE. Il s'agit de la mise en œuvre de référence de ce framework.

L'émergence des conteneurs et des technologies de cloud hybride a fortement contribué à la complexification de la sécurité. Pour les équipes de sécurité, il est de plus en plus difficile de suivre l'évolution des risques, des exigences de conformité, des outils et des architectures qu'ont provoquée ces technologies. Aujourd'hui, les politiques de sécurité réseau classiques basées sur le périmètre ne suffisent plus. Les équipes de sécurité doivent revoir leur tactique.

Chez Red Hat, nous adoptons une approche de défense en profondeur, multicouche et axée sur la sécurité en tant que code qui aide les clients à mettre en œuvre la sécurité sur l'ensemble de la pile d'infrastructure et d'applications, tout au long du cycle de vie.

Chez Red Hat, nous souhaitons vous aider à adopter en toute confiance une stratégie axée sur la sécurité continue. Pour ce faire, nous préparons les technologies Open Source à un usage en entreprise. Notre objectif est d'aider les entreprises à rester compétitives, flexibles et adaptables tout en protégeant leur environnement informatique et en assurant la conformité réglementaire.

Notre modèle de souscription unique donne accès à une équipe de spécialistes des technologies disponible en continu. Voici quelques-uns des avantages inhérents à nos solutions de sécurité Open Source.