A l’heure de la démocratisation du télétravail et la multiplication des Digital Nomades nos vies personnelles et professionnelles sont incontestablement régies par le numérique. En effet, l’arrivée de la Covid a précipité la transformation numérique de certains secteurs. Plus que jamais celle-ci a été faite en catastrophe, confirmant que le numérique est souvent choisi par défaut.
Cependant, certaines entreprises plus matures ont, elles, entamé leur deuxième et troisième phases de la transformation numérique.
Phase 1 : automatisation des tâches
À ce stade, la numérisation amène les entreprises à transformer les tâches professionnelles à orientation humaine en diverses formes d'automatisation, ce qui signifie que davantage d'applications sont introduites ou créées dans le cadre du flux d'activités. Cela commence par l'automatisation de tâches individuelles bien définies pour améliorer l'efficacité. Un exemple courant est celui des systèmes de bots qui répondent aux questions courantes sur un produit ou un service, mais qui doivent parfois passer le relais à un représentant humain. Dans cette phase, les tâches individuelles sont automatisées, mais pas intégrées de manière cohérente.
La conséquence involontaire : plus de code
Une application Apple nécessite environ 50 000 lignes de code. Une appli Google ? Plus de 2 millions, et, la plupart des applications se situent entre les deux. Tout ce code doit être maintenu, mis à jour et sécurisé. Les entreprises ont étendu leur base de code à travers les architectures pendant des années. Aujourd'hui, elles exploitent cinq architectures distinctes et trois ou quatre bases de code différentes, de COBOL à C à JS à Go.
Et c'est sans compter l'utilisation croissante de JSON, YAML et Python à mesure que les entreprises adoptent l'infrastructure en tant que code. C'est plus de la moitié (52 %) selon notre rapport annuel sur l'état de la stratégie applicative, et cela ne fera que croître à mesure que les organisations, qui se plongent dans l'IA et le Machine Learning, commencent à adopter des pratiques opérationnelles qui incluent des modèles et des algorithmes en tant que code, également.
Phase 2 : expansion numérique
Lorsque les entreprises commencent à tirer parti de l'infrastructure "cloud-native" et à piloter l'automatisation par le biais de leur propre développement logiciel, cela conduit à une nouvelle génération d'applications, pour soutenir la mise à l'échelle et l'expansion de leur modèle numérique.
Le moteur de cette phase est que les chefs d'entreprise s'impliquent dans les décisions relatives aux applications conçues pour se différencier ou fournir un engagement unique aux clients.
Par exemple, les prestataires de soins de santé utilisent de plus en plus les dossiers et la facturation des patients aux systèmes d'admission, de sortie et de planification, en ligne. Les rappels de rendez-vous automatisés peuvent alors éliminer les processus manuels. Se concentrer sur l'amélioration des processus d'entreprise de bout en bout est le thème commun de cette phase.
La conséquence involontaire : davantage de connexions
Le numérique par défaut et la modernisation de l'informatique signifient davantage de connexions - entre les applications, les systèmes, les appareils, les consommateurs, les partenaires et les API. Chacune d'entre elles est un point d'entrée potentiel, qui pourrait finalement entraîner une violation ou une compromission importante des systèmes.
Phase 3 : les entreprises assistées par l'IA
Au fur et à mesure que les entreprises avancent dans leur parcours numérique et exploitent des capacités plus avancées via des plateformes d'applications, la télémétrie d'entreprise et l'analyse des données, ainsi que les technologies Machine Learning /Intelligence Artificielle, les entreprises deviendront assistées par l'IA.
L'analyse comportementale peut être utilisée pour distinguer les utilisateurs légitimes des bots qui tentent d'obtenir un accès. La technologie et l'analytique ont permis l'identification assistée par l'IA de ces utilisateurs pour les laisser entrer, ce qui augmente les revenus et améliore la fidélisation des clients.
La conséquence involontaire : plus de données
Enfin, le numérique par défaut entraîne nécessairement plus de données. Pas seulement les données clients, les commandes, les produits, les adresses, les détails de paiement - mais aussi les données opérationnelles comme les métriques et les logs. Une entreprise a besoin de télémétrie pour comprendre les visiteurs, les taux d'engagement, les performances, les flux inhabituels et les comportements anormaux. Cette télémétrie n'est pas quelque chose que l'on peut analyser et jeter, du moins pas tout de suite. Des jours, voire des semaines ou des mois, de télémétrie peuvent être nécessaires pour établir correctement des bases opérationnelles, puis découvrir des schémas qui alimentent les décisions commerciales ainsi que des anomalies révélatrices d'une attaque.
Toutes ces données nécessitent de l'attention. Elles doivent être normalisées, stockées, traitées, analysées et conservées. Et elles doivent être sécurisées, car certaines de ces données peuvent contenir des informations protégées sur les clients, ce qui nécessite une mise en conformité et une surveillance réglementaire.
Le résultat involontaire de la transformation numérique : plus de complexité
Quelle que soit la rapidité ou la lenteur avec laquelle une organisation progresse dans ces phases, le résultat est le même : plus de complexité, qui est l'ennemi de la sécurité.
Ainsi, pour les professionnels de la sécurité, le numérique par défaut signifie de nouveaux défis. L'une des façons de faire face à cet ensemble de défis en matière de sécurité est de le décomposer en catégories plus faciles à gérer.
Simplifier pour ne pas perdre la raison
La plupart des défis en matière de sécurité peuvent être regroupés en trois catégories : application, infrastructure et entreprise. Ces catégories de haut niveau sont utiles pour la gestion lorsqu’une entreprise a besoin d'un financement ou d'un soutien exécutif. Elles sont également utiles pour le triage lors de la détermination de la meilleure approche pour les atténuer.
Couche applicative => DevSecOps
Les vulnérabilités de la couche App peuvent être abordées avec une approche shift left, c'est-à-dire en faisant de la sécurité une partie de chaque pipeline - du développement au déploiement et à l'exploitation.
Du WAF au DAST en passant par le RASP et le SAST, les outils abondent pour aider à analyser et sécuriser le code. La plupart d'entre eux sont parfaitement capables de s'intégrer au pipeline de développement. En automatisant les scans, un transfert est éliminé - et le gouffre de temps associé.
Vulnérabilités de l'infrastructure → défense distribuée
Les vulnérabilités plus traditionnelles comme les DDoS volumétriques et l'amplification des DNS vivent dans la couche d'infrastructure.
Les vulnérabilités de la couche infrastructure nécessitent davantage une approche de type "shield right" - où les services de sécurité se défendent contre les attaques en direct, car il existe des moyens de les traiter.
Avant même que le télétravail ne devienne plus ou moins permanent, les gens voyageaient, ce qui impliquait des endpoints mobiles.
D'où la nécessité de solutions centrées sur les applications et les identités distribuées pour défendre l'infrastructure et les applications. Cela signifie SASE et Zero Trust, et l'utilisation de la périphérie pour rapprocher les services de défense de l'infrastructure de l'origine des attaques. SASE et ZTNA déplacent la politique des adresses IP et des réseaux vers les utilisateurs et les appareils et exigent une preuve d'identité pour accéder aux applications et aux ressources.
Vulnérabilités commerciales => Soutien de l'IA.
Enfin, il y a les vulnérabilités de la couche métier. La taille moyenne des attaques DDoS a augmenté de 55 % au cours de l'année dernière, l'éducation étant l'un des secteurs les plus ciblés au début de 2021*. Des attaques dites « credentials stuffing » ont été lancées contre des joueurs de jeux vidéo en 2020 à un rythme de plus de 500 000 par heure. Ces attaques doivent être traitées en temps réel.
C'est pourquoi il n'est pas surprenant que la sécurité assistée par l'IA soit adoptée à un rythme effréné, pour suivre la cadence folle à laquelle de nouvelles attaques et de nouvelles façons d'exécuter les anciennes attaques sont développées et lancées.
La capacité à traiter et à prédire avec précision les attaques potentielles a été citée par 45 % des personnes interrogées* comme manquant à leurs solutions de surveillance actuelles. L'IA est une réponse à cela, avec la promesse d'une analyse des données en temps réel via des modèles formés qui peuvent détecter et nous alerter d'une attaque potentielle.
Le numérique par défaut est la nouvelle norme
En fin de compte, toute cette numérisation crée un monde axé sur les données. Cela signifie que les attaquants ont plus de moyens d'accéder aux données, de les exfiltrer et, plus généralement, de les détruire. Dans un monde numérique par défaut, la sécurité a besoin d'une pile numérique, ce qui signifie DevSecOps, un modèle de défense distribué et une sécurité assistée par l'IA.
*Rapport annuel sur l'état de la stratégie applicative de F5