José Diz a lancé le débat en posant la question de la sécurité des environnements applicatifs.

En préambule, Grégory Domagala, Solution Architect chez Veracode explique qu’il faut ramener la sécurité au niveau du développement afin d’éviter les problèmes. Grâce à cela, il est possible d’obtenir un retour avant la mise en production. Par contre, les développeurs sont mal formés à la sécurité. Il faut les aider à corriger les failles grâce à des outils automatisés à base d’IA. Pour David, Chief Architect chez Red Hat dans son entreprise on a développé un socle avec des catégorisations automatiques des informations critiques en termes de sécurité qui doivent être corrigés. Ainsi, il y a par type d’applications des profils prédéterminés qui permettent de corriger automatiquement les vulnérabilités lors du codage.
Thierry Gourdin directeur avant-vente France & Afrique du Nord, de l’Ouest et du Centre chez Kaspersky explique qu’avec sa plateforme de durcissement, il permet de donner une visibilité sur plusieurs environnements Cloud comme Azur, AWS...

Fabio Costa, Senior Solutions Security & Edge Technology Engineer, rappelle qu’Akamai a acquis Linode qui permet de protéger les applications en se basant sur son CDN. Chez Juniper, Ramyan Selvam, Ingénieur avant-vente chez Juniper, voit la partie sécurisation sous l’angle de la mobilité des développeurs et de leur profiling. Juniper adresse la problématique de l’exécution des applications quelques soit la plateforme Azur, AWS en assurant un continuum de la sécurité.
Jean-Baptiste Grandvallet, Systems Engineer Manager chez Cohesity se positionne sur la partie protection et détection des menaces, tout en classifiant les données afin d’avoir une reprise d’activité la plus rapide possible en cas d’attaque. Ainsi cohesity a fait une alliance entre plusieurs éditeurs pour avoir une chaîne de sécurité complète.

Lors du développement, les développeurs vont utiliser plusieurs outils hétérogènes, comment fait-on pour sécuriser tout cela ? demande José Diz

Fabio Costa considère qu’il faut vérifier en permanence le comportement du code. Pour Gregory Domagala il faut mettre en garde les développeurs sur la qualité des librairies utilisées.
Concernant la gestion des API et de leur viabilité, Fabio Costa pense qu’il faut faire de l’analyse contextuelle. David explique qu’il faut vérifier les identités des utilisateurs pour savoir s’ils ont l’autorisation de les déployer.

David Szegedi rajoute que selon les typologies d’applications il faut mettre en place en amont au plus proche de la data des contrôles. C’est donc un travail à faire avec les développeurs en amont. Fabio Costa considère qu’il faut pour les MFA mettre en place des authentifications multi-facteurs avec par exemple un push sur un device comme un smartphone. Il est préférable de plus d’associer deux devices pour éviter par exemple les « Man In the Middle ».

De plus, Il nécessaire de trouver un compromis entre agilité et sécurité pour éviter les temps de latences lors de l’expérience utilisateurs explique de concert Fabio Costa et Ramyan Selvam.

Faut-il tout chiffrer demande José
Diz ?

Jean-Baptiste Grandvallet recommande de tout chiffrer afin de mieux protéger les données. Il faut mettre en place des quorums d’autorisation pour certains types d’actions comme par exemple les actions d’élévation de privilèges... il faut avoir une console unique qui gère ces systèmes.

Et quid des infrastructures As Code ?

Gregory Domagala explique que les développeurs écrivent des scripts sur les comportements des applications. Le but est de pouvoir sécuriser toutes les actions d’une application. Pour Ramyan Selvam cette méthode permet de gagner beaucoup de temps lors des phases de développement. Chez Red Hat on pousse beaucoup les conteneurs Kuberntes en utilisant Github ou autre rappelle David Szegedi.

Concernant les environnements d’application comment les protègent-on ? Demande José Diz

Thierry Gourdon explique qu’il faut déployer des outils de sécurité classiques comme EDR, XDR, firewalls... pour Fabio Costa, il faut faire de la sécurité positive en analysant le comportement usuel de l’application. Pour sécuriser les applications il faut faire de la segmentation. Il faut au préalable faire un apprentissage du comportement des applications afin d’établir des règles.
Chez Juniper, Ramyan Selvam observe une amélioration des réseaux qui permettent de réduire les temps de latence. Par exemple, dans le cas de télétravail on monte un tunnel IPSEC afin de chiffrer toutes les données. De plus, Juniper fait de plus en plus du chiffrement de la donnée elle même en fonction de sa qualité et propose des stratégies de chiffrement. Par exemple, si une donnée est déjà chiffrée il n’est pas utile de la faire passer par un tunnel IPSEC cela permet de réduire les temps de latence. Cette technologie est aussi déployée dans le Cloud.

Gregory Domagala propose une plateforme globale est une aide à la décision en cas d’alerte.

David Szegedi explique : « aujourd’hui on constate des utilisations de plusieurs Cloud en même temps en fonction des applications. Ainsi Red Hat propose une sécurisation automatisée avec un workflow qui permet de faire les gestes techniques comme du patching automatiques pour éviter les interventions humaines.

Jean-Baptiste Grandvallet considère que l’on doit retrouver dans le Cloud les mêmes fonctionnalités de disponibilités et de sécurisation que l’on soit dans le Cloud privé ou public.

Qui est responsable ? demande José Diz

David Szegedi explique que la responsabilité incombe aux développeurs, mais c’est compliqué de faire appliquer cette charge. Il faut des équipes transverses qui vont prendre en charge cette dimension. En mode de service managé on a une équipe qui travaille en 24/7 et qui est capable d’appeler les clients en cas de problème et de se connecter sur leurs applications. Pour Jean-Baptiste Grandvallet la donnée reste dans tous les cas sous la responsabilité du client et la disponibilité reste elle a l’opérateur de Cloud. Les clients veulent des solutions de sécurité globale qui s’intègrent dans les solutions des hyperscalers comme AWS, Azur...
Ramyan Selvam propose des contrats de « licences agreements » qui supposent une interaction avec les équipes.

Quelle est la mesure de sécurités applicative à mettre en œuvre ? Demande José Diz

Ramyan Selvam c’est le zéro Trust, donc il faut s’outiller pour appliquer cette mesure quelque soit le contexte. Pour Fabio Costa il faut un WAF et une segmentation logicielle pour vérifier le comportement des utilisateurs pour identifier un comportement anormal. Selon Thierry Gourdon, il faut former et sensibiliser les utilisateurs. Gregory Domagala considère qu’il faut mettre en place de bonnes pratiques pour sécuriser dès le départ ses applications des le développement. Pour David Szegedi, il faut vraiment adopter des politiques de zéro Trust avec une méthodologie, des outils adaptés... enfin, Jean-Baptiste Grandvallet explique qu’il faut protéger ses donner avoir des sauvegardes immuables, de la redondance... que se soit dans le Cloud ou dans le Premise.

En conclusion tout le monde s’est entendu pour appliquer une politique de patching rigoureuse.