Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Arnaud Lemaire, F5 : Penchez vous sur l’orchestration de la sécurité

septembre 2019 par Marc Jacob

A l’occasion de l’édition 2019 des Assises de la Sécurité, F5 pour sa nouvelle participation s’attachera à démontrer comment accompagner les chantiers de transformation numérique de nos clients en maintenant un haut niveau d’exigence en termes de sécurité. En outre, elle montrera son nouveau positionnement issu du rachat stratégique de NGNIX. Arnaud Lemaire, directeur technique chez F5 recommande de se pencher sur l’orchestration de la sécurité.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Arnaud Lemaire : Les sujets restent sensiblement les mêmes cette année : comment accompagner les chantiers de transformation numérique de nos clients en maintenant un haut niveau d’exigence en termes de sécurité.
Ces deux thématiques sont toujours au cœur de toutes les discussions sur le terrain. Il y a une accélération de projets de migration vers le cloud ou de transformation du data center quel que soit le secteur d’activité et la sécurité reste une thématique prédominante. On sent également une motivation très forte dans toutes les organisations à optimiser les processus de gestion des infrastructures, donc on parle : orchestration, DevOps et comment lier la publication d’applications sécurisées dans ces initiatives.

Une grande nouveauté, c’est également l’acquisition de NGINX, un positionnement stratégique pour F5 car cela nous permet de nous rapprocher plus rapidement de ces nouveaux interlocuteurs qui prennent de plus en plus d’initiatives au sein des entreprises que sont les développeurs, et d’accroître notre visibilité avec un nom très connu dans les couches applicatives.

GS Mag : Quel sera le thème de votre conférence cette année ?

Arnaud Lemaire : Le thème de cette année sera : « Les 3 piliers pour sécuriser le monde ouvert des API ». Pourquoi ? c’est très simple : le trafic généré par les API dépasse aujourd’hui le contenu traditionnel html sur Internet. C’est l’interface de communication utilisée par toutes les applications mobiles, les frameworks réactifs pour faire du développement de sites, les géants du web les utilisent pour monétiser leur contenu et les banques pour se conformer aux exigences légales tels que PSD2 en Europe. Et ce n’est pas près de s’arrêter là, les nouveaux modèles de développement de type micro services ou « serverless function » reposent énormément dessus pour échanger de l’information ou déclencher des évènements.
_ En terme de sécurité c’est donc un enjeu majeur de s’assurer que ces services soient correctement protégés car ils sont par définition ouverts vers l’extérieur et donnent le plus souvent accès aux données les plus importantes de l’entreprise. On se doit donc de respecter les 3 piliers de la sécurité : donner de la visibilité sur l’activité des services, contrôler les accès et les consommateurs des API et assurer la protection au niveau applicatif des API.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Arnaud Lemaire : La cible principale aujourd’hui est l’application, en tête devant l’infrastructure ou l’IoT. On observe depuis plus d’un an une recrudescence d’attaques ciblant PHP. Ce qui est également intéressant c’est le ciblage du type d’attaque par industrie, très bien expliqué dans le rapport « Application Protection Report 2019 » produit par F5 Labs. Et l’on observe une tendance forte de certaines attaques en fonction du domaine d’activité de l’entreprise : injection sur les formulaires de paiement dans la vente en détail et les technologies, attaque par phishing ou accès illicite à la messagerie dans la finance, santé et l’éducation.

GS Mag : Quid des besoins des entreprises ?

Arnaud Lemaire : Un besoin majeur pour les entreprises est d’arriver à faire le lien entre le projet de transformation, pour rendre l’entreprise la plus agile possible, et une sécurité sans faille qui s’intègre dans ces nouveaux schémas. Plus que jamais on oppose désormais la vélocité de publication des applications aux usages traditionnels de gestion de l’infrastructure et de la sécurité.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Arnaud Lemaire : Pour F5, l’enjeu majeur est d’arriver à suivre l’application ou sa transformation et de continuer à délivrer les services clefs de la sécurité. F5 investit massivement sur des services de sécurité en mode SaaS pour pouvoir accompagner les tendances où l’on souhaite faire disparaître la gestion de l’infrastructure, ou encore toucher de nouvelles populations orientées développement, moins habituées à intégrer des solutions d’infrastructure, d’où le rachat de NGINX.

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Arnaud Lemaire : Comme toute entreprise, F5 fait évoluer ces processus internes, les grandes thématiques du « qui accèdent à quelle information et depuis où », ce qui influence directement nos développements produits avec beaucoup d’offres en cours de développement sur la visibilité et le concept du « zero trust ».

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Arnaud Lemaire : On a souvent utilisé la criticité de l’application comme critère de niveau de sécurité à apporter, on se rend compte aujourd’hui que c’est potentiellement une erreur. L’interconnexion des systèmes est devenue très forte, les applications ne sont plus centralisées, tout le monde travaille en architecture hybride, donc l’adoption d’un modèle « zero trust » élargie me semble nécessaire. Il faut protéger toutes les applications, ou qu’elles soient et quelles que soient leur fonction.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Arnaud Lemaire : Penchez vous, si ce n’est pas déjà fait, sur l’orchestration de la sécurité. La capacité de pouvoir décharger certains tâches par de l’automatisation permet de s’assurer d’une part, que vous appliquez une base de protection à tout nouveau déploiement et d’autre part, de dégager du temps aux équipes sécurité pour améliorer les services offerts et la prévention des incidents.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants