Les exigences commerciales conflictuelles sont monnaie courante dans toute organisation, mais pour les entreprises informatiques, elles sont pratiquement intégrées. Différents rôles ont des exigences et des processus différents qu’ils réalisent dans les quatre murs de leurs départements. Et pourtant, de nouveaux défis en matière de cybersécurité que les équipes doivent surmonter sont découverts quotidiennement.
Cependant, lorsque les projets passent à la sécurité ou que des correctifs et de nouvelles mises à jour sont publiés, cela peut être une cause centrale de conflit entre deux des facteurs les plus critiques de l’informatique : la disponibilité et la sécurité.
Disponibilité vs. Sécurité
Les équipes opérationnelles ont toujours la disponibilité comme priorité absolue. L’objectif de leur équipe est de fournir une disponibilité stable afin que les opérations puissent fonctionner sans interruption. D’autre part, les équipes de sécurité se concentrent sur la création d’un environnement sécurisé. L’un ne peut pas bien performer sur le long terme sans l’autre ; Cependant, les deux équipes ont des objectifs différents en tête.
En conséquence, il y a souvent des conflits entre les opérations et la sécurité. L’activation est sans aucun doute plus facile sans tenir compte de la sécurité. Mais avec la sécurité souvent à la fin du processus de développement itératif, cela peut provoquer des frictions entre les deux. Et sans collaboration, les organisations pourraient finir par compromettre la disponibilité ou la sécurité sans optimiser la communication entre elles.
Par exemple, une équipe de sécurité peut exiger que les systèmes soient arrêtés pour être corrigés avec peu d’avertissement. Cela garantira un environnement sécurisé mais réduira la disponibilité. De même, des objectifs de disponibilité tels qu’une disponibilité de 99,999 % peuvent nécessiter de nombreux serveurs, données et services qui nécessiteront une surveillance et une protection continues.
Examinons de plus près certaines des principales causes du conflit entre disponibilité et sécurité dans les environnements informatiques :
Valeurs conflictuelles
En raison des valeurs conflictuelles innées entre la disponibilité et la sécurité, il existe également des frictions lors du choix des meilleures pratiques à suivre lorsque les équipes sont combinées. Par exemple, SecOps combine plusieurs équipes avec des tâches, des objectifs et des responsabilités spécifiques. Il ne fait aucun doute que tout le monde est gagnant lorsqu’il peut travailler ensemble de manière équilibrée, mais leurs valeurs contradictoires rendent particulièrement difficile l’accord sur les flux de travail et les meilleures pratiques.
Par exemple, lorsque les équipes DevOps pensent à la correction des vulnérabilités, elles y pensent en termes de temps d’arrêt et de perturbations qui causent des problèmes et des inconvénients pour les utilisateurs. C’est pourquoi ils se tournent souvent vers des temps d’arrêt réguliers pour tenter de donner la priorité à la sécurité.
Cependant, les fenêtres de maintenance et les temps d’arrêt programmés ne peuvent pas entraîner une correction complète à chaque fois. Les mises à jour du réseau ne sont pas publiées selon le calendrier de votre organisation. Et les pirates n’attendront certainement pas votre prochaine mise à jour de sécurité pour lancer une attaque.
Complexité
Décider de la fréquence d’application des correctifs et de la rapidité de réponse lorsque des vulnérabilités connues sont publiées n’est que le début des problèmes entre disponibilité et sécurité. Et parfois, réduire les risques est plus compliqué que d’exécuter une mise à jour ou de corriger une vulnérabilité spécifique.
Par exemple, certaines vulnérabilités se produisent au niveau du langage de programmation. Ces vulnérabilités affectent toutes les applications écrites avec le langage concerné. Parfois, les équipes d’exploitation et de sécurité sont inconscientes du fonctionnement interne de certains langages de programmation. S’ils ne savent pas comment se connecter avec Python, comment vont-ils corriger une vulnérabilité PHP ?
C’est là que les développeurs s’impliquent et que les équipes DevSecOps sont formées, ce qui ajoute encore à la complexité de l’équilibre entre disponibilité et sécurité. Non seulement les équipes doivent mettre à jour la version linguistique pour corriger la vulnérabilité, mais elles doivent également réécrire le code de l’application en gardant à l’esprit les changements au niveau du langage.
À ce niveau de complexité, les développeurs ont doublé leur charge de travail, les équipes informatiques ne peuvent pas remplir leurs fonctions principales et les spécialistes de la sécurité sont confrontés à des heures de retravail pour sécuriser une application entièrement nouvelle.
Problèmes de politique
C’est à ce stade que les processus s’effondrent. Tout est en feu, personne ne sait exactement comment procéder et les organisations souffrent souvent d’incidents de données à ce stade. En plus d’un conflit à plusieurs niveaux au sein de l’entreprise, vous devez également réparer votre réputation auprès des clients.
C’est là aussi que l’idée d’une politique du haut vers le bas semble la meilleure façon de traiter les enjeux. Et bien que les politiques puissent résoudre ces problèmes dans une certaine mesure, aucune équipe n’est vraiment satisfaite du résultat. Le résultat? Produits et services médiocres d’une organisation médiocre.
Un autre problème avec les politiques est qu’elles laissent souvent les systèmes non corrigés pendant de longues périodes, ce qui donne aux pirates de nombreuses opportunités de se faufiler et d’attendre le moment idéal pour lancer une attaque.
La solution : le rapiéçage sans friction
Il semble qu’il n’y ait aucun moyen de gagner. Quelle que soit la façon dont vous le découpez, il y aura des risques importants qui doivent être traités d’une manière qui affecte la disponibilité ou compromet la sécurité. Cependant, il existe un moyen d’aider à atténuer et même à résoudre les conflits entre les perturbations et les correctifs retardés.
Qu’est-ce que le patching sans friction ?
L’application de correctifs sans friction est un concept dans lequel les correctifs sont appliqués sans interruption et simultanément à autant de niveaux que possible pour garantir la sécurité et la disponibilité. La cybersécurité protège tout le monde, y compris les entreprises, les utilisateurs et le personnel. La sécurité est hautement nécessaire dans l’environnement d’aujourd’hui. Les hackers disposent de nombreuses techniques pour voler des données personnelles et profiter de l’exploitation de vulnérabilités de toutes sortes. C’est pourquoi il est si important que nous changions notre façon de penser à la sécurité.
La sécurité est pour tout le monde
La sécurité ne doit plus être considérée comme une pratique réservée aux techniciens et aux spécialistes. La sécurité doit être sans friction pour tout le monde : développeurs, équipes d’exploitation, personnel de sécurité et même travailleurs non techniques. Collectivement, nous nous dirigeons vers un avenir numérique qui exigera que chaque utilisateur ait une connaissance pratique des pratiques et des solutions de sécurité.
Le problème est que, selon 84 % des responsables informatiques, l’erreur humaine était la principale cause de toutes les violations de données en 2021. Même parmi les entreprises qui ont des programmes actifs de formation à la cybersécurité pour les employés non techniques, 61 % des travailleurs échouent à un quiz de base sur la cybersécurité. L’objectif principal de ces travailleurs est la productivité, il n’est donc pas surprenant qu’ils en aient assez de faire des tâches fastidieuses avec des étapes supplémentaires pour des raisons de sécurité lorsqu’ils entravent la productivité.
La sécurité doit impliquer des processus sans friction qui ont du sens pour toutes les personnes impliquées dans l’organisation afin de combler toutes les lacunes de votre écosystème de cybersécurité.
Comment résoudre le conflit entre disponibilité et sécurité
Le patch en direct est un outil de patch sans friction qui devrait se trouver dans les boîtes à outils de toutes les équipes informatiques. L’application de correctifs en direct permet aux équipes de sécurité d’appliquer des correctifs beaucoup plus rapidement que les fenêtres de maintenance régulières sans avoir à redémarrer les appareils pour appliquer de nouvelles mises à jour. Il s’agit d’un correctif rapide et sécurisé avec peu ou pas de temps d’arrêt. Serait-ce l’équilibre entre disponibilité et sécurité recherché par toutes les organisations ?
Les entreprises manufacturières, financières et médicales doivent rechercher des logiciels de communication dotés de fonctionnalités essentielles qui permettent une disponibilité 24 heures sur 24, 7 jours sur 7, sans se soucier des vulnérabilités qui se propagent dans vos systèmes en raison des risques au niveau du langage.
Dernières pensées
Les outils de correctifs en direct sont un moyen simple et efficace de résoudre les conflits entre les équipes informatiques et de fournir un écosystème plus sécurisé dans toute l’organisation. Non seulement il fournit des correctifs rapides sans nécessiter de temps d’arrêt, mais il peut également corriger plusieurs langages de programmation sans interruption. Les outils de correctifs en direct se concentrent sur les problèmes de sécurité sans introduire de modifications de code qui nécessiteraient une refactorisation du code. Cela signifie que votre code peut s’exécuter tel quel sans compromettre la sécurité ou la disponibilité.