Bonne nouvelle : récession ou pas, la sécurité reste une dépense quelque peu incontournable pour les DSI, selon les données d'un dernier sondage de Morgan Stanley Research. Cependant, la mauvaise est que rien de tout cela ne fonctionnera si ces mêmes DSI ne corrigent pas leur logiciel. Le vice-président d'AWS, Matt Wilson, a tout à fait raison lorsqu'il affirme : « Il est de la responsabilité du client de logiciels déployés dans des systèmes critiques pour la sécurité ou la fiabilité de le corriger en toute sécurité (entre autres) ou de conserver les services nécessaires pour le maintenir pour eux ». Pourtant, il est également vrai que les logiciels non corrigés, open source ou autres, restent le principal vecteur d'attaque des pirates. C'est peut-être un problème plus important pour l'open source, non pas parce qu'il n'est pas sécurisé par nature (le contraire est plus proche de la vérité), mais parce qu'il est si largement utilisé. En tant que tel, nous pouvons continuer à injecter de l'argent dans la sécurité open source, mais si les entreprises ne prennent pas la peine de corriger les logiciels dont elles dépendent, dans quelle mesure cela aide-t-il ?
Heureusement, les DSI, autrefois réactifs dans la hiérarchisation des dépenses de sécurité, deviennent désormais proactifs. Selon l'estimation de Gartner, les entreprises ont dépensé plus de 150 Md$ en produits de sécurité en 2021. C'est beaucoup d'argent, et cela ne semble pas diminuer en 2022 voire au-delà. Questionnés sur le type de projets IT qui seraient plus ou moins susceptibles d'être financés si l'économie tombait en récession, les DSI placent la sécurité en tête de liste à la fois pour leur immunité aux coupes (devant tout le reste, y compris la transformation numérique) et pour la croissance des dépenses (juste derrière le cloud computing). Cela marque un réel progrès, étant donné que la sécurité était autrefois quelque chose dont les entreprises prétendaient ne se soucier qu'après avoir été touchées par une brèche de sécurité. Quelles sont les dépenses des entreprises ? Selon certains rapports, des fonds sont dirigés vers la gestion des identités et des accès, la sécurité de la messagerie et la sécurité des réseaux, entre autres. Le financement sert notamment aux services de sécurité gérés, selon IDC, ainsi qu'aux tests d'applications automatisés.
Les utilisateurs font partie du processus de sécurité
Les micro-services, parmi les tendances informatiques montantes, ont quant à eux considérablement compliqué la sécurité des entreprises, même s'ils ont offert de nombreux avantages : « Dans un monde où les développeurs conçoivent d'abord et les utilisateurs passent après, la sécurité va toujours être un combat. Même chose pour les applications monolithiques. Dans ce contexte, l'automatisation peut aider à réduire la probabilité que les développeurs ou les responsables des opérations manquent les tests et les correctifs nécessaires pour un logiciel donné. Cela devient encore plus critique à mesure que les entreprises utilisent de plus en plus souvent des logiciels open source sans nécessairement créer de processus pour les corriger et les maintenir. Ces solutions apportent sans doute une couche de sécurité plus élevée, mais s'ils ne sont pas corrigés, ils peuvent être aussi mauvais que n'importe quel logiciel propriétaire non corrigé. Ainsi, lorsque vous voyez de faux titres tels que « le code source ouvert est dangereux et risqué en raison de son utilisation généralisée, selon un rapport », il est utile de se souvenir du contre-argument de Steven J. Vaughn-Nichols : « Ce n'est pas l'utilisation [de l'open source qui crée la sécurité risques], c'est l'utilisation irresponsable qui pose problème ».
Nous nous dirigeons peut-être vers une préoccupation plus fondamentale. Comme l'affirme Chris Goettl d'Ivanti, « les acteurs des menaces de sécurité iront toujours plus vite dans la création d'exploits de sécurité que la plupart des entreprises qu'ils ciblent ». A quel point plus rapide? Et bien, selon une enquête de RAND, même s'il ne faut que 22 jours à un acteur menaçant la sécurité pour capitaliser sur une menace connue, celle-ci peut rester sans correctif pendant environ sept ans. Cela peut être dû au fait que du code non maintenu est toujours utilisé (de façon assez courante) ou simplement parce que l'entreprise ne parvient pas à corriger une vulnérabilité publique connue. Avec tout notre nouvel intérêt pour le financement des logiciels de sécurité, on peut se demander si les entreprises ne devraient pas investir plus d'argent pour développer plutôt un « état d'esprit de sécurité ». La posture de sécurité d'une entreprise est aussi bonne que les personnes qui l'administrent. L'Open Software Security Foundation a ainsi raison de mettre l'éducation à la sécurité en premier sur sa liste de domaines qui doivent être abordés pour améliorer la sécurité de l'open source, bien que les mêmes principes s'appliquent largement à tous les logiciels.
Investir dans la sécurité open source n'est pas jouer
Récemment, certaines grandes entreprises ont fait de gros paris sur la sécurité open source, engageant 150 M$ pour aider à sécuriser l'infrastructure clé open source. C'est une belle initiative, mais reste à savoir si elle va assez loin. La sécurité concerne toujours les personnes et les processus, qui peuvent tous deux être assistés par l'automatisation, mais à moins que les personnes chargées de sécuriser leurs logiciels d'entreprise ne soient formées à la réflexion sur la sécurité en open source ou autrement, aucune somme d'argent ne pourra acheter cette sécurité. En effet, comme l'écrit Alissa Irei, il faut une formation ainsi qu'un accord au sein de l'entreprise pour déterminer quels systèmes doivent être prioritaires pour la maintenance de la sécurité. Dans l'article d'Irei, Doug Cahill, analyste principal chez Enterprise Strategy Group, souligne qu'« il n'y a qu'un flot de correctifs. Plus l'organisation est grande et hétérogène, moins il est pratique que tous les systèmes soient à jour à tout moment. » Compte tenu du déluge de systèmes nécessitant des correctifs, les entreprises malines prendront du recul, évalueront et hiérarchiseront les logiciels qui prennent en charge les applications les plus critiques.
Il se peut également qu'un correctif crée plus de problèmes qu'il n'en résout en rompant la compatibilité et en déconnectant les applications destinées aux clients. Mais dans ces domaines, comme toujours, la clé est la formation des personnes et la construction de processus. C'est une longue façon de dire qu'avant de commencer à se vanter de dépenser gros pour la sécurité, ilvaut mieux s'assurer de le dépenser dans les bons domaines. Et au passage, en profiter pour vérifier sa sécurité cloud.