OPTIMISER SA SÉCURITÉ AVEC L’AUTOMATISATION ET L’ORCHESTRATION !

Nombreux sont ceux qui considèrent la sécurité informatique comme l’ajout de contraintes impactant directement le bon déroulement du business. Les arguments sont souvent les suivants ; la sécurité impose de nouvelles pratiques, la sécurité augmente les coûts d’un projet, la sécurité rallonge les délais de livraison… et ainsi de suite. Et pourtant c’est bien elle qui assure la pérennité des projets.

L’ergonomie vise à optimiser les conditions de travail et accroître la productivité 

L’introduction d’éléments de sécurisation dans la chaîne de processus visant à publier un service peut avoir un impact non négligeable sur l’ergonomie. Bien que contraignante, la sécurité est nécessaire et les utilisateurs en sont conscient. Cette prise de conscience améliore sa perception et relativise le ressentiment de ces derniers sur l’ergonomie.

Le coût

la sécurité informatique traditionnelle représente un centre de coût important dont la valeur est très rarement perceptible pour les personnes du business. Aux coûts des solutions technologiques, viennent s’ajouter ceux des services nécessaires pour la mise en place et l’exploitation de ces solutions.

Les délais de livraison des services

Dans une infrastructure traditionnelle, les délais de livraisons sont généralement bien supérieur aux attentes du business. La multitude de composants (entrées DNS, règles Firewall, vlans, …) à configurer manuellement et les procédures internes alourdissent grandement ce délai.

 

Compte tenu des enjeux imposés par les demandes métiers, il y a un réel besoin d’optimiser les processus permettant le déploiement et l’exploitation des solutions de sécurité informatique. L’automatisation des tâches élémentaires puis l’orchestration de ces dernières se profilent comme une solution pragmatique et efficace.

L’automatisation est déjà partiellement présente au sein des infrastructures de sécurité. Elle concerne en majeure partie le traitement des tâches génériques de gestion du cycle de vie des équipements tels que les processus de backup, la gestion des logs et le monitoring des indicateurs systèmes. Plus génériquement, le périmètre des processus automatisés est celui des assets IT traditionnels.

 

Les axes d’automatisation et d’orchestration

La démarche d’automatisation vise principalement à réduire les risques d’erreur humaine ainsi que les délais de mise en œuvre. Ceci en déchargeant les ressources humaines de tâches répétitives aux résultats prédictibles.

L’orchestration de ces tâches consiste en la mise en œuvre de processus techniques « intelligents » : Intelligents dans leur capacité à faire interagir plusieurs solutions d’éditeurs souvent différentes et dans leur capacité à interpréter une multitude de sources de paramètres aux natures variables (réglementaires ou techniques).

On peut distinguer plusieurs axes d’optimisation :

  • Les déploiements des composants de sécurité

Dans ce domaine, les cas d’automatisation concernent principalement les solutions pour le poste de travail. En effet, l’automatisation du déploiement des produits de sécurité est déjà disponible depuis longtemps chez certains éditeurs. Ceux-ci offrent même de nombreuses possibilités d’orchestration, puisque la simple détection d’un nouveau poste sur le réseau peut générer une tâche de déploiement et de configuration des outils de sécurité de type Firewall personnel ou Antivirus.

La démocratisation des environnements de type Cloud publique ou privé prévoit désormais l’automatisation du déploiement d’un grand nombre de solutions sous la forme d’appliances virtuelles ou de service. L’orchestration de ces déploiements nécessite encore de nombreuses interventions humaines, mais la généralisation des interfaces API chez la plupart des éditeurs offre de nombreuses possibilités en la matière. L’utilisation de modèles de configuration permet :

* Une réduction des risques d’erreurs,
* Une meilleure réactivité dans les déploiements,
* L’application des standards d’entreprise et régulatoire.

  • Les changements de configuration sur les composants de sécurité

Les possibilités d’automatisation et d’orchestration des changements de configuration de sécurité sont nombreuses au sein d’un même éditeur de produits de sécurité. Certaines solutions couvrent un périmètre multi-éditeurs, comme la suite logicielle de l’éditeur Tufin qui permet la gestion des changements sur les composants sécurité réseaux ou encore la solution Backbox qui automatise des tâches de sauvegardes et de restauration des configurations des composants réseau et sécurité.

Dans ce domaine aussi, la démocratisation des APIs (Application Programming Interface) offre des possibilités d’automatisation, et donc d’orchestration à plus grande échelle, très importantes et encore peu exploitées à ce jour. Certaines structures, notamment les SOC (Security Operation Center) utilisent d’ores et déjà des processus automatisés afin d’orchestrer la réaction des systèmes en cas de détection d’incidents. Cette tendance devrait probablement se généraliser dans les années à venir en prenant en charge les évènements de sécurité « courants » afin de concentrer l’attention des équipes de sécurités sur les incidents plus complexes et l’amélioration des processus automatisés.

Si la démarche d’automatisation présente des avantages certains en termes d’optimisation, elle nécessite de nombreuses précautions. En effet, une fois les processus automatisés mis en œuvre, la moindre erreur de configuration ou le disfonctionnement de processus peut mener à un impact à très large échelle. L’efficacité et la fiabilité des processus d’automatisation sont fortement dépendantes de la qualité des documentations des infrastructures et processus, ainsi que de la qualité des processus de validation post changement.

 

Best practices pour mettre en place l’automatisation en entreprise

Automatiser certains processus requiert des compétences d’ingénierie et une bonne compréhension des workflows implantés au sein de l’entreprise. La documentation des composants et des processus représente un facteur clé pour la réussite de tels projets.

  • Connaissance et compréhension des processus à automatiser : Avant de pouvoir envisager l’automatisation de processus, il est nécessaire de bien maîtriser les dits processus que ce soit dans le cadre de leur implémentation, mais aussi des contrôles permettant de valider leur bon fonctionnement.
  • Documentation des composants et processus: Les documentations sont nécessaires pour traduire les processus en tâche technique à automatiser. Elle devrait couvrir l’ensemble des composants et processus jouant un rôle dans la tâche à automatiser.
  • Tests et Monitoring post-déploiement et continu: Pour garantir une bonne tolérance face aux pannes, des tests fonctionnels doivent être conduit après chaque mise à jour de la tâche automatisée. De plus, une supervision des résultats peut être conduite pour valider que le déploiement a été correctement réalisé et que le résultat obtenu correspond bien au résultat espéré.
  • Appliquer le principe KISS (Keep It Simple, Stupid): Un des fondements de l’automatisation réside dans sa capacité à simplifier des processus qui peuvent être complexe et pour lesquels l’homme ne peut offrir une réelle valeur ajoutée. Les interfaces Homme Machine des outils d’automatisation et les architectures déployées doivent être intuitives afin de réellement « banaliser » la mise en œuvre de ces tâches. De plus, ces outils doivent être en mesure de s’interconnecter avec un grand nombre de systèmes hétérogènes et d’offrir des fonctions de personnalisation le plus large possible.
  • Sécurisation des interfaces de management: Les accès aux APIs et plus globalement à toutes les interfaces de management jouant un rôle au sein des processus automatisés doivent faire l’objet d’un effort de sécurisation important :
  • Filtrage des accès,
  • Authentification forte des systèmes,
  • Audit intense et continu des accès et changements de configuration apportés.

L’automatisation des tâches de déploiements et de changements des configurations doit rester simple. Si des interactions ou des vérifications humaines sont nécessaires, la tâche ne devrait pas être automatisée.

Nos équipes de développements travaillent activement sur l’automatisation et l’orchestration de nombreux processus au sein de l’entreprise. Ils ont, par exemple, mis en place une architecture permettant de valider chaque changements dans le code source des produits e-Xpert avant de recréer le binaire de l’application. Ensuite, une tâche permettant d’exécuter le binaire dans un environnement containerisé reproduisant les conditions réelles est lancée avant de mettre à disposition l’application pour nos clients. Nous l’avons fait, pourquoi pas vous ?

Contactez-nous

Répondre aux exigences « métiers » en toute sécurité !