Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DevOps et intégration continue : la culture de l’innovation doit devenir indissociable de la culture de la sécurité

décembre 2016 par Sacha Labourey, CEO de CloudBees

Selon les estimations du Gartner, 5,5 millions d’objets sont connectés chaque jour en 2016 dans le monde. En plus de cette connectivité les objets embarquent le plus souvent une intelligence et une puissance informatiques variables en fonction des besoins. Ces nouvelles capacités des objets devenus communiquant inquiètent depuis longtemps les professionnels de la sécurité informatique. Estimant déjà que près de la moitié (49%) du trafic internet est généré par des bots, ils prévoient déjà que les objets prendront bientôt part à des communications générées par des systèmes automatisés et pour lesquelles ils n’ont pas été conçus.

L’attaque DDoS dont OVH a été la victime en septembre 2016 qui reposait sur un botnet de 145 000 caméras connectées est probablement un très bon exemple de l’importance de l’attention à porter au développement logiciel d’un équipement et à sa mise à jour régulière.

Cette attaque est décrite comme étant probablement la plus féroce jamais enregistrée. Le débit des caméras piratées et leur quantité expliquent l’ampleur de cette attaque. Mais il est important de comprendre qu’elle a été rendue possible par les lacunes des caméras en matière de sécurité.

Des lacunes parfois connues et souvent dues à la négligence des fournisseurs de ce type d’objets connectés.

Les consommateurs d’objets connectés perçoivent ces derniers comme des équipements dédiés et spécialisés. Aussi ils ne doutent pas de la sécurité de ces terminaux. Ils considèrent souvent que le fournisseur de la technologie concernée est suffisamment responsable et consciencieux pour s’assurer de la sécurité de l’équipement. Mais en réalité, en dépit de leurs formes et de leurs usages différents de celui d’un ordinateur ou d’un smartphone, les dispositifs IoT sont relativement proches de ces derniers dans leur conception. Ils reposent en effet sur l’association d’un matériel, et d’un logiciel et peuvent par conséquent dissimuler des vulnérabilités qui les exposent à des attaques similaires. “Il faut éprouver le logiciel dès le début, puis le faire souvent” dit l’adage. Un conseil valable pour une approche de développement traditionnelle et plus encore en ces temps où le logiciel dévore le monde et où la valeur d’un service ou d’un objet dépend surtout du logiciel sur lequel il repose.

En 2016, tester l’imperméabilité d’une application et vérifier le comportement de systèmes lorsqu’ils sont confrontés à des attaques DDoS est devenu une bonne pratique incontournable.

Mais pour cela, il faut faire entrer la sécurité informatique dans les mœurs. Il ne suffit pas d’avoir les outils, encore faut-il comprendre l’intérêt de tester le code et de le faire au long cours, au fil des mises à jour du logiciel.

L’internet des objets se met en place et toutes les industries doivent désormais prendre en compte la question de la qualité du code. Les fournisseurs de technologies périphériques ne peuvent pas se reposer entièrement sur les fournisseurs d’infrastructures réseaux ou sur les datacenters.

Ces mêmes caméras en mesure d’attaquer les serveurs d’un hébergeur peuvent devenir, à la faveur d’un développement logiciel peu abouti, ou d’une mise à jour malencontreuse, des espions à la solde d’un cybercriminel.

En 2015, la FDA (Food and Drug Administration) a alerté les hôpitaux utilisant certaines pompes à perfusion connectées d’un risque majeur de compromission à distance de ces dernières pouvant mener à des surdosages ou un sous-dosages médicamenteux potentiellement mortels. Un blogueur avait dévoilé publiquement, code à l’appui, la vulnérabilité du logiciel faisant fonctionner la pompe... Un développement logiciel qui prend insuffisamment en compte la sécurité peut transformer un objet en acteur actif ou passif de la cybercriminalité. Innover, améliorer sans cesse les fonctionnalités d’une solution sont devenus des prérequis essentiels à la satisfaction client. L’approche DevOps et l’intégration continue apportent une réponse adaptée à ces nouveaux besoins. Mais évidemment la question de la sécurité ne peut être laissée de côté.

L’automatisation des tests de sécurité n’est pas encore une réalité. Mais tandis que les outils de DevOps fournissent les fonctionnalités nécessaires à une gestion des identités et des accès optimisée, ainsi que des systèmes de contrôle de sécurité pour valider la stabilité des logiciels tout au long du processus de développement, il est important d’intégrer la sécurité dans la culture des entreprises. Se former, effectuer des recherches sur les dernières tendances en matière d’exploits, de phishing, scanner le code, rechercher des anomalies, tester les logiciels doit devenir indissociable de la création de code. La culture de l’innovation portée par la plupart des entreprises doit devenir indissociable d’une prise en compte systématique, non pas subie, mais au contraire choisie de la culture de la sécurité.

C’est le prix de la transformation digitale, le prix de la connectivité. La maturité des technologies et l’évolution des cultures doivent aller de pair pour l’avènement de solutions innovantes mais aussi responsables. C’est la nécessaire contrepartie des promesses de la connectivité.




Voir les articles précédents

    

Voir les articles suivants