Le manque de visibilité des applications est un risque sérieux pour la sécurité
août 2023 par Gigamon
Depuis quelques mois, les équipes de sécurité font face à de nouvelles exigences : faire plus avec moins, développer de nouvelles applications, essentielles pour la croissance de l’activité de l’entreprise, s’assurer que tous les actifs, données et processus critiques sont sécurisés, et bon nombre de ces équipes rencontrent des difficultés pour savoir exactement ce qui s’exécute sur leur réseau hybride.
La vérité est qu’il y a aujourd’hui un fossé entre les applications autorisées par les services informatiques et la réalité des applications réellement présentes sur un réseau. L’élimination de cet écart est un défi majeur qu’il faut résoudre pour garantir la sécurité, maintenir l’efficacité du réseau et maîtriser les coûts.
Les 5 facteurs à l’origine du manque de visibilité des applications
Si les facteurs an cause varient d’une organisation à l’autre, il existe de nombreuses raisons économiques, commerciales et techniques pour accentuer ce phénomène.
Évolution et accélération des besoins de l’entreprise - les applications, qu’elles soient basées sur SaaS ou développées sur mesure, évoluent constamment en réponse aux besoins de l’entreprise. Et le rythme des changements s’accélère, en particulier pour les applications orientées client qui permettent aux entreprises de se différencier et de répondre aux pressions concurrentielles du marché.
Des initiatives pourtant bien intentionnées – Certains services peuvent répondre aux nouveaux besoins ou urgences de l’entreprise, en déployant une nouvelle application SaaS, en engageant une équipe DevOps, sans supervision de l’informatique et de la sécurité. Cette démarche compréhensible sur le papier comporte des risques importants.
La pression du « faire plus avec moins » - presque toutes les équipes informatiques et sécurité sont invitées à geler ou à contenir les coûts en 2023. Cette situation, associée à une pénurie persistante de compétences dans tous les secteurs, fait qu’il est de plus en plus difficile pour les organisations de surveiller et d’empêcher les problématiques potentielles des applications de se développer.
Personnes malveillantes à l’extérieur et à l’intérieur de l’organisation - outre les risques externes liés aux pirates qui introduisent des ransomwares et autres logiciels malveillants, tels que le crypto-mining, des utilisateurs internes sous-formés, négligents ou parfois malveillants contribuent aux problèmes en utilisant des applications non autorisées sur le réseau.
Les outils n’offrent pas suffisamment de visibilité - Obtenir une vue holistique de toutes les applications fonctionnant sur un réseau hybride ou multicloud est un défi technique important lorsque chaque plateforme dispose d’un outil de surveillance unique. Ce qu’il faut, c’est un moyen de rassembler cette vue holistique afin de pouvoir agir sur les informations fournies.
Comment combler le manque de visibilité des applications
Pour combler le fossé de la visibilité des applications, les entreprises doivent avoir une visibilité sur toutes les applications présentes sur leurs réseaux et sur le trafic que ces applications génèrent. Cela signifie qu’elles doivent être en mesure d’identifier toutes les applications fonctionnant dans leur infrastructure, qu’elles soient hébergées dans des centres de données physiques ou virtualisés (cloud privés) ou dans le cloud public.
Ces applications sont souvent difficiles à identifier et peuvent être nommées et conçues pour apparaître comme des applications légitimes, masquant ainsi leur objectif réel. Dans ce cas, il est essentiel de voir les protocoles et les ports utilisés par les applications, d’identifier les serveurs avec lesquels elles communiquent et d’inspecter le trafic qu’elles génèrent pour comprendre leur véritable nature.
La solution d’observabilité avancée de Gigamon permet de voir toutes les applications sur un réseau, et le trafic que ces applications génèrent, du paquet au niveau de l’application. Cette capacité nommée la « Gigamon Application Intelligence » instaure des règles simples qui spécifient comment le trafic des applications est géré du point de vue de l’inspection et de la sécurité ; Par exemple, envoyer tout le trafic de cette catégorie d’application à travers les outils A et C, mais pas B. Elles peuvent être plus complexes, comme : inspecter l’en-tête de ce flux de trafic et, sur la base de son contenu, faire ceci ou cela. Ces règles peuvent être pilotées non seulement par les paquets dans le trafic, mais aussi par les métadonnées dérivées de l’application. L’intelligence au niveau du réseau dérivée de cette activité peut être utilisée pour alimenter les tableaux de bord de performance, de sécurité dans les outils SIEM ou d’observabilité et aussi enrichir les données des métriques, événements, journaux et traces (MELT) pour une application.
Ne pas savoir exactement quelles applications fonctionnent sur un réseau expose l’organisation à une série de risques de sécurité et peut lui coûter cher. Il peut s’agir d’applications malveillantes, comme les ransomwares, d’applications non autorisées et potentiellement criminelles comme le crypto-mining, ou encore d’applications peer-to-peer capables d’exporter et d’exfiltrer des données sensibles. Chacune de ces applications présente de sérieux risques financiers, réglementaires et réputationnels. Outre ces risques, l’exécution d’applications non autorisées signifie que l’organisation paie pour une puissance de calcul, une bande passante et éventuellement une capacité de stockage qu’elle ne peut plus utiliser pour soutenir ses fonctions opérationnelles.