La sécurité, quant à elle, impose des politiques et des protocoles qui limitent cette liberté de choix. Surtout lorsque les politiques de sécurité sont définies par des solutions autonomes et des silos opérationnels. Cette approche fragmentée crée plus de complexité, ce qui à son tour crée plus de pression sur les équipes de sécurité.
Pour les politiques d’open source des entreprises, cela a des implications majeures. Après tout, 99% des logiciels commerciaux d’aujourd’hui contiennent au moins un composant open source. Les logiciels libres sont omniprésents et, précisément pour cette raison, constituent une cible privilégiée. Sans surprise, en 2021, le nombre d’attaques ciblant certaines vulnérabilités open source a augmenté de 650%.
Une seule fuite peut coûter des millions d’euros en amendes, et encore plus en perte de confiance. Les entreprises doivent donc être attentives aux applications open source qu’elles utilisent et à la manière dont elles les gèrent activement. Mais gérer soi-même les risques liés aux logiciels libres est plus facile à dire qu’à faire. La sécurité interne exige une quantité énorme de connaissances et de main-d’œuvre, et une équipe qui connaît sans effort la réponse à des questions telles que : “Savez-vous quels logiciels fonctionnent dans vos locaux ? Est-il compatible avec la sécurité de votre infrastructure ? Pouvez-vous identifier toutes les vulnérabilités ? Et pouvez-vous résoudre les problèmes trouvés ?” Arrêter d’utiliser l’open source est également très dangereux.
Sécurité, avec le y de “yes”
Il peut aussi être fait différemment. Vous pouvez également contrôler les risques de sécurité inhérents aux logiciels libres sans avoir à déployer une armée interne entière pour ce faire. Pour que la sécurité ne réponde pas “non” par défaut lorsque quelqu’un dit : “Je veux essayer ceci, je veux travailler avec cet outil“. La sécurité doit être la raison pour laquelle vous pouvez dire “oui” sans hésiter.
La sécurité est essentiellement une question de culture, plus précisément une culture ouverte. Dans une culture ouverte, l’innovation et la sécurité ne sont pas diamétralement opposées. Ils deviennent interchangeables et s’entremêlent en un seul ensemble de sécurité et de développement : DevSecOps. Ici, la sécurité ne se limite pas à une équipe spécifique à la fin du cycle de développement. Avec les cycles de publication rapides et continus d’aujourd’hui, la sécurité doit être intégrée dans les flux de travail DevOps, plutôt que d’être ajoutée à la fin lorsque l’application est sur le point d’être déployée.
DevSecOps nécessite un remaniement complet de l’organisation, de nouvelles méthodes de travail et une nouvelle culture d’entreprise. Mais avec la sécurité des logiciels libres, cela en vaut largement la peine. Les cybercriminels pensent comme des développeurs lorsqu’ils élaborent leur attaque. Plus les développeurs s’impliquent dans la défense de votre organisation, plus ils recherchent les bogues et les vulnérabilités dans le code, plus ce code devient sûr et plus les attaquants sont frustrés.
La transparence est ici cruciale. La sécurité doit passer de l’obscurité des arrière-salles à un environnement où elle est partagée par tous et où tout se fait ouvertement. L’open source permet à un plus grand nombre de personnes d’identifier les vulnérabilités, d’étudier la sécurité, de développer et de tester les correctifs, et à un plus grand nombre d’utilisateurs finaux d’être utilisés pour lutter contre les cybermenaces.
Les vulnérabilités sont découvertes rapidement, corrigées rapidement et constituent toujours une leçon précieuse. Il s’agit d’un effort de groupe et d’un “cercle vertueux”, une plus grande participation et une plus grande ouverture conduisant à un meilleur résultat.
Les outils et technologies DevOps tels que les conteneurs, Kubernetes, Docker et les microservices sont extrêmement configurables et les différentes options de configuration peuvent affecter le statut de sécurité d’une application. Une mauvaise configuration peut entraîner de graves incidents de sécurité. Vous pouvez réduire ce danger en automatisant la gestion de la configuration de sorte que la technologie construise les garde-fous à la place des humains faillibles.
Connaître sa source (ouverte)
La provenance est toujours importante. Savoir qui a fourni votre technologie open source est votre première ligne de défense. Ce qui est merveilleux avec l’open source, c’est que toute organisation, quelle que soit sa taille, peut déployer et utiliser des technologies open source sans contrainte. L’inconvénient est que vous devez investir dans le contrôle et la sécurisation de ces systèmes par vos propres développeurs avant de les mettre en production.
Vous pouvez également rechercher des logiciels libres auprès de fournisseurs qui effectueront les contrôles de sécurité et les mises à jour pour vous. Moins il y a de fournisseurs de logiciels, moins il y a de partenaires à qui faire confiance et à qui s’adresser. Avec moins de systèmes, vous avez également moins de complexité et donc moins de travail de gestion. Ainsi, lorsque vous dressez votre liste de souhaits, elle doit inclure les éléments suivants :
- des logiciels fournis par des fournisseurs éprouvés et sûrs, dont l’authenticité a été prouvée;
- code stocké dans des référentiels internes sécurisés ;
- paquets signés et une forte protection contre la falsification ;
- avec le moins de modifications de code possible tout au long de la vie du produit.
La sécurité au-delà
Si vous placez la sécurité à la fin du cycle de développement, elle ne manquera jamais de s’immiscer, d’interrompre, de limiter les options et d’attirer sur elle des efforts et des ressources humaines qui auraient pu contribuer à la croissance de l’entreprise. Si vous l’intégrez dès le départ – dans le logiciel, dans les processus de sécurité du distributeur et dans la plate-forme de déploiement – la sécurité est le moteur de l’innovation. Il est partout, passe inaperçu en arrière-plan, contribue à la productivité et ne compromet jamais les opérations commerciales.
La normalisation et l’automatisation de votre infrastructure et de vos opérations de sécurité sont des éléments essentiels pour une plateforme axée sur l’innovation. Si vous pouvez compter à 100 % sur la sécurité, rien ne freine la volonté d’innover. Avec la bonne culture d’entreprise, qui valorise la collaboration et l’innovation, vous avez les clés du succès. Il en va de même pour le succès dans la “guerre des talents” : si les talents savent qu’ils peuvent se concentrer sur des projets créatifs et axés sur l’innovation, ils sont déjà plus susceptibles de vous choisir.
Red Hat souhaite aider les entreprises à faire passer la sécurité du statut de mal nécessaire à celui d’élément d’une stratégie commerciale innovante. Grâce à leurs connaissances techniques et à leur expertise, ils aiment se profiler comme des conseillers numériques en chef, aidant les organisations à mettre DevSecOps en pratique. Et ils leur apprennent à collaborer de manière optimale, un élément essentiel de la culture d’entreprise de l’open source. En bref, ils veulent injecter l’ADN de Red Hat dans les clients, afin qu’ils adoptent eux aussi l’innovation en abondance et en récoltent les fruits.
