La tendance à migrer les applications vers le nuage a augmenté rapidement au cours des 10 dernières années et le maintien de la sécurité tout au long de cette transformation est essentiel pour permettre ces efforts en toute sécurité.

En donnant aux équipes de sécurité et DevOps les moyens de collaborer efficacement, Palo Alto Networks Prisma Cloud accélère le développement et le déploiement sécurisés d’applications cloud-natives. La plateforme de protection des applications cloud-natives (CNAPP) de l’entreprise, chef de file du secteur, aide les organisations à atteindre leurs objectifs de migration vers le nuage, avec sept milliards de ressources cloud sécurisées jusqu’à présent.

Une plateforme de protection efficace qui répond aux besoins de sécurité à chaque étape du développement et du déploiement des applications assure une meilleure visibilité et un meilleur contrôle des risques pour accompagner les entreprises dans leur parcours infonuagique.

Pour mieux comprendre comment maintenir un environnement infonuagique sécuritaire, Ankur Shah, vice-président principal et directeur général de Prisma Cloud chez Palo Alto Networks, a discuté des défis, des menaces environnementales et des meilleures pratiques pour une transformation cloud sécurisée.

Veuillez vous présenter auprès de notre auditoire ainsi que Palo Alto Networks et, dans votre rôle, quels sont vos principaux indicateurs de succès?

Je m’appelle Ankur Shah, vice-président principal de Prisma Cloud. Comme l’auditoire le sait peut-être, au cours des quatre dernières années, nous avons transformé Palo Alto Networks, passant d’une entreprise spécialisée dans les pare-feux à une organisation offrant une plateforme complète de sécurité. Notre produit phare demeure le pare-feu nouvelle génération qui a fait notre réputation.

Nous avons introduit le SaaS pour l’accès réseau à confiance nulle (ZTNA). Pour la sécurité des points de terminaison et la transformation du centre des opérations de sécurité (SOC), nous avons XDR et, le troisième pilier, c’est Prisma Cloud, qui protège les applications du code jusqu’au cloud. C’est la partie de l’entreprise que je dirige.

Mes indicateurs de succès reposent sur l’accompagnement de nos clients dans leur parcours du code vers le nuage, en m’assurant qu’ils progressent rapidement, évoluent vers le numérique et que nous les aidons à le faire de manière sécuritaire. Notre mission principale est d’accompagner nos clients dans leur migration vers le cloud.

À mesure que le nuage devient de plus en plus omniprésent et distribué, comment les organisations peuvent-elles protéger efficacement cet environnement?

Le passage au cloud connaît une croissance rapide. D’ici la fin de 2023, Gartner prévoit que les dépenses des utilisateurs finaux pour l’infonuagique publique atteindront près de 600 milliards $ et, même à cette échelle, les fournisseurs cloud continuent de croître à un rythme soutenu. C’est parce que les clients réécrivent leurs applications pour tirer profit de la technologie infonuagique et accélérer le développement.

Comme je le dis souvent — chaque entreprise va devenir une entreprise de technologie grâce au nuage, aux conteneurs et à l’évolution de toute la chaîne d’approvisionnement. Si vous regardez l’année dernière, la majorité des organisations ont déplacé plus de 30 % de leurs charges de travail vers le nuage. Et cette tendance va continuer.

Les organisations vont soit opter pour une migration « lift-and-shift », c’est-à-dire prendre une application existante et profiter des clouds publics, soit développer des applications cloud-natives, c’est-à-dire des applications bâties directement dans un environnement infonuagique. L’approche des applications cloud-natives est en hausse : les clients réécrivent les applications.

À mesure que les organisations cheminent vers le nuage, je souhaite qu’elles commencent à réfléchir à la sécurisation de ce qu’on appelle le « cycle de vie complet de l’application ». L’approche traditionnelle de la sécurité consiste à dire : « J’ai des choses dans le cloud public, est-ce sécuritaire ? » une fois que c’est déjà public. Et en réalité, dans le nuage, les développeurs laissent beaucoup de failles à des vulnérabilités. Ils se demandent « est-ce sécurisé ? » trop tard.

Avec la rapidité à laquelle travaillent les développeurs et les nouveaux services qu’ils utilisent, il est tout simplement impossible pour les petites équipes de sécurité de couvrir tout le terrain après que les applications aient été créées et livrées. La bonne façon de protéger les applications, les données et l’infrastructure critique est que la sécurité accompagne les développeurs dès le début du cycle de développement. Il faut y penser de façon globale, comme un continuum, plutôt qu’en silos multiples qui, eux, sont chronophages et inefficaces. Les silos obligent les équipes de sécurité à reconstituer tous les signaux reçus à travers le cycle de vie de l’application pour déterminer lesquels prioriser.

Par exemple, j’ai une sonnette Ring et si elle m’envoie une notification toutes les 15 minutes dès que quelqu’un passe devant la maison ou qu’une voiture circule, je m’habitue et j’ignore les alertes. Il y a trop de bruit, donc, si un intrus entre pour de vrai, je risque de le manquer. Ce dont on a besoin, ce n’est pas une multitude de petits signaux, mais une sécurité intégrée à chaque phase afin de corréler tous les signaux, du code jusqu’au cloud. Cela laisse la priorisation des menaces à la plateforme de protection et permet aux utilisateurs de se concentrer sur la réponse.

Quelles sont les principales menaces à cet environnement infonuagique?

On retrouve les menaces classiques, par exemple l’exfiltration de données sur le nuage et une panoplie de risques liés à la sécurité des applications, parce qu’une erreur fréquente consiste à déployer une application présentant une vulnérabilité connue dans le cloud public, la rendant ainsi accessible sur Internet et exploitable.

L’exposition des vulnérabilités à Internet, une gestion des accès trop permissive et la présence de secrets dans le nuage, tout cela constitue ce que l’industrie appelle la chaîne d’approvisionnement. Le risque de sécurité lié à la chaîne d’approvisionnement logicielle apparaît lorsque des acteurs malveillants ont accès à votre code (via de l’ingénierie sociale, par exemple). À partir de là, ils volent le secret ou les clés d’accès à l’API, pénètrent dans l’environnement cloud, siphonnent les données et effectuent du minage de cryptomonnaie.

Les risques pour la sécurité applicative et l’exposition des vulnérabilités à Internet, voilà les risques classiques à surveiller. Qu’est-ce qui en est la cause et comment les résoudre? Voilà où se concentrent les clients.

Quels sont les défis liés à la pénurie de compétences et à la composante humaine du parcours de transformation?

C’est quelque chose que nous vivons au quotidien chez Prisma Cloud. L’aspect humain du défi se situe au niveau du déséquilibre énorme entre le nombre de développeurs et d’experts en cybersécurité. Lorsqu’on fait le compte des personnes qui comprennent vraiment le cloud public et la sécurité, ils sont trop peu nombreux. Ils n’ont aucune chance de suivre le rythme effréné des développeurs d’applications.

Cela représente donc un enjeu. L’un de nos objectifs pour Prisma Cloud est de combler l’écart entre les équipes de sécurité et celles de DevOps. Nous avons observé des progrès notables chez les clients qui ont réussi à aligner la sécurité et DevOps, en passant par trois étapes, la première étant la réduction de l’écart.

La seconde étape est ce que nous appelons la prévention des risques. Donc, la première étape vise uniquement la visibilité et le contrôle, en s’assurant que le praticien en sécurité a ce regard. Ensuite, on lui donne une perspective sur les principaux risques à rapporter à l’équipe de développement.

Les développeurs aiment incorporer des secrets dans leur pipeline CI/CD pour travailler rapidement, évitant ainsi d’avoir à ouvrir une autre console. En réunissant les équipes de sécurité et les développeurs, la sécurité sait exactement quels problèmes peuvent être générés par les développeurs. Des mesures de sécurité préventives peuvent ainsi être ajoutées sans ralentir le développement.

La troisième étape est la défense en profondeur, qui constate que « ce qui peut mal tourner finit souvent par mal tourner ». Il faut alors une protection active lorsque des acteurs malveillants tentent de s’introduire dans l’environnement.

Nous croyons être, chez Prisma Cloud, les bâtisseurs de ponts du fossé de la sécurité dans l’infonuagique. C’est ainsi que nous croyons résoudre cette équation déséquilibrée, en amenant la sécurité auprès des développeurs pour assurer un rythme de développement rapide tout en étant responsable.

Pouvez-vous nous éclairer sur les dernières technologies et stratégies pouvant contribuer à une approche globale de la cybersécurité?

Pour y arriver de manière holistique, il ne faut pas reproduire ce qui s’est toujours fait dans l’industrie. Je discute régulièrement avec de grands clients qui utilisent plus de 100 outils de sécurité en tout, uniquement pour le cloud. J’en trouve beaucoup avec plus d’une douzaine d’outils. Avoir plus d’outils ne vous rend pas plus sécuritaire, mais moins. Il faut aborder la sécurité globalement, du code jusqu’au cloud.

Mon conseil aux équipes de sécurité est d’embrasser ce nouvel ordre. Vous ne pourrez pas bloquer les développeurs qui veulent créer de nouvelles choses. Il y a un besoin d’affaires. Les clients veulent avancer vite. Et vous voulez devenir de vrais catalyseurs pour l’équipe DevOps en apprenant le cloud, en ayant la bonne boîte à outils, en gagnant la confiance, la crédibilité, et en aidant l’entreprise à établir les priorités.

Du point de vue des priorités d’affaires et au conseil d’administration, où se classe la sécurité du cloud? Comment la sécurité sera-t-elle abordée à l’avenir?

Nous avons récemment publié notre sondage mondial Quoi de neuf en cybersécurité, qui a révélé que la sécurité infonuagique se classait au deuxième rang des priorités derrière la sécurité réseau selon les répondants, principalement des DSI, RSSI et autres cadres supérieurs. Cela démontre que la cybersécurité est bel et bien une priorité dans les conseils d’administration, tant pour les PDG, RSSI que DSI. Environ 50 % des participants à notre étude prévoient augmenter leurs investissements dans les pare-feux logiciels à la fois sur le cloud public et privé.

Ma recommandation aux DSI et RSSI est de continuer à redoubler d’efforts. Il faut comprendre la trajectoire de la rondelle, et elle se dirige clairement vers les clouds publics. Et c’est un défi. Certains de nos clients ont un environnement complètement verrouillé, avec des pratiques très matures, alors que d’autres ont des environnements dignes du Far West. Nous voulons en arriver à une situation où tout est sécurisé du code au nuage, et où les clients disposent d’un tableau unique qui leur permet de constater que le nombre d’incidents de sécurité et le risque diminuent à mesure que leur empreinte cloud s’accroît.