e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

Contraintes des exigences métiers

Retour aux articles

Répondre aux exigences "métiers" en toute sécurité !

Automatiser et orchestrer sa sécurité de demain.


Catégorie : Articles

Date de publication : 3 avril 2018 - Dernière mise à jour : 2 mai 2018

Rédacteur : Cédric Enzler, Yann Desmarest et Bérangère Thévenet


Les pratiques dans le monde informatique évoluent constamment, notamment dans la gestion des technologies de l’information (IT). Les services informatiques font face à des demandes régulières et urgentes des « métiers » pour intégrer de nouveaux services pour le business. Le développement des systèmes d’information (SI) et l’augmentation des besoins placent la gestion d’un parc informatique dans le top des challenges à relever pour assurer un niveau de sécurité adéquat pour l’entreprise.

Le DevOps, bien plus qu’un concept

Pour répondre aux demandes, le système d’information des entreprises doit gagner en agilité avec pour principe d’augmenter la valeur pour les clients avec un minimum de ressources. Les équipes de développements et d’opérations informatique (IT) doivent plus que jamais travailler solidairement et améliorer leur collaboration pour répondre aux exigences formulées par les « métiers ». On parle alors de l’association du monde du développement (dev) et des opérations (ops). Émergent en 2007, le DevOps est bien plus qu’un concept, c’est un mouvement visant à réduire le gap entre les différents acteurs d’un système d’information pour améliorer grandement la qualité des processus et la vitesse de livraison des services informatiques. Aujourd’hui, l’automatisation des processus et des tâches s’appuie essentiellement sur cette culture DevOps. À noter : La sécurité informatique est trop souvent considérée comme un frein dans les tâches de déploiement de nouveaux services. Pour cette raison, de nombreuses entreprises déprécient les aspects de sécurité pour simplifier et accélérer les délais de livraison des applications. Cette démarche considérée comme agile rend les services vulnérables et sans protection. Quel intérêt pour les entreprises d’obtenir l’implémentation d’applications métiers rapidement mais vulnérables en cas d’attaque informatique ? De là est né le DevSecOps dont le principe est d’intégrer la sécurité à toutes les étapes de déploiement des services informatiques. Le DevSecOps enrichit la culture DevOps sans pour autant impacter les vertus de la fusion du développement et des opérations. En 2018, une nouvelle application doit être installée et intégrée rapidement de façon sécurisée. Pourtant le constat est sans appel, les équipes dédiées à la gestion de ces systèmes d’information sont trop souvent en sous-effectifs face à cette croissance constante des demandes et des solutions techniques à gérer. Les différentes équipes ne collaborent pas toujours ensemble rallongeant ainsi les délais de mise en service et impactant directement l’application d’un point de vue technique, organisationnel et sécuritaire.

Les principes d’automatisation et d’orchestration

Pour faire face à ces réalités, les principes d’automatisation et d’orchestration sont de bonnes réponses. En cas d’implémentation d’une nouvelle application, la gestion automatique des équipements de sécurité permet de l’intégrer de façon sereine et sans oubli d’outils ou de règles de sécurité. L’orchestration vise l’automatisation dans les processus d’implémentation et d’évolution des équipements en place. Cette gestion des équipements apporte de nombreux atouts comme une meilleure efficacité, une analyse des process, une optimisation des interventions et une réduction des erreurs humaines. En cybersécurité, l’automatisation permet aux équipements de sécurité de gérer des tâches répétitives qui seraient normalement traitées par des ingénieurs. L’orchestration, quant à elle, ambitionne la connexion entre différentes solutions de sécurité au travers de process automatisés. Par exemple dans le traitement d’un incident IPS (Intrusion Prevention System), il est possible d’automatiser l’alerte de l’incident et d’orchestrer les actions à mener face à celle-ci : isoler la machine infectée, bloquer des adresses IP spécifiques, stopper un service web, …

L’automatisation comme l’assurance d’une gestion efficace de la sécurité ?

Pour automatiser les processus d’une entreprise, la première phase incontournable est l’analyse de l’existant. Un audit et la mise en place de workflows permettent de vérifier la bonne cohérence des mécanismes appliqués en entreprise. Dans la réalité, cette étape bénéfique engendre souvent la mise en place de nouvelles pratiques dans l’optique d’optimiser les processus, limiter les erreurs humaines et anticiper les évolutions des infrastructures. Cette remise en question du système d’information va ensuite permettre d’envisager les orchestrations de l’ensemble des éléments du système d’information. Le constat est que la bonne mise en place de l’automatisation ou de l’orchestration dépend directement des études préalables ou de l’existant. Les audits et les workflows seront les garants d’une démarche optimale en cas de mise en place de ces principes. Une mauvaise étude et de mauvais workflows peuvent avoir des conséquences directes sur les processus d’automatisation et d’orchestration. Alors comment ces principes pourraient-ils être l’assurance d’une gestion efficace de la sécurité des entreprises ? Cette dépendance directe à des analyses humaines fait qu’il est difficile de les placer ainsi. Les seules garanties seraient un gain de temps non négligeable dans les implémentations et la gestion du système d’information, un ROI conséquent (retour sur investissement), une évolution positive des process en place et une limitation certaine des erreurs humaines.

Abonnez-vous
à nos newsletters