En environnement open source, qui va continuer à prendre de plus en plus d’importance à l’avenir, la security by design et de la cyber-hygiène sont essentielles.

° Qu’est-ce qui vous surprend aujourd’hui dans les développements IT ?

Olivier Struye de Swielande (*) : «En tant que spécialiste et précurseur du cloud et de la virtualisation, VMware est bien placé pour déceler les tendances avant tout le monde. Aujourd’hui, les données et workloads sont répartis sur plusieurs clouds et les travailleurs s’identifient à partir de plusieurs appareils, où qu’ils soient. Notre slogan ‘Any Cloud, Any App, Any Device’ l’illustre à la perfection. Mais ces applications sont souvent essentielles à l’entreprise. Si elles ne fonctionnent pas, toute l’activité est neutralisée.

«Il faut donc mettre l’accent sur la protection. Or les solutions de sécurité classiques sont aujourd’hui dépassées par les menaces. Il faut donc en revoir les fondements. Plutôt que d’essayer de dépister tout ce qui est potentiellement nuisible, il faut se focaliser sur ce qui est bon : le comportement correct ou le statut escompté d’une appli. Tout ce qui y déroge peut être analysé. Et cette philosophie change la donne pour les ‘bad guys’.»

° Pourquoi mettez-vous l’accent sur la cyber-hygiène ?

O. S. de S. : «D’après une récente étude de sécurité qu’a fait réaliser VMware auprès de professionnels IT et de chefs d’entreprises en Belgique et aux Pays-Bas, il semble que la majorité soit consciente que la sécurité informatique ne consiste pas seulement à faire installer un logiciel ou des équipements matériels. Car le nombre de vulnérabilités reste élevé : 64 % des répondants ont connu l’an dernier un ou plusieurs problèmes de sécurité. D’où l’importance de la conscientisation et d’une bonne cyber-hygiène. Respecter 5 principes de base doit pouvoir suffire. Mais il convient de les appliquer de façon systématique.»

5 principes de base

° Quels sont-ils ?

O. S. de S. :«Les 5 principes impliquent de donner accès aux systèmes et aux données aux bonnes personnes, à partir d’une authentification multi-facteurs. Chacun ne reçoit que l’accès minimal nécessaire dont il a besoin pour être productif. Les systèmes doivent également toujours tourner avec les dernières mises à jour, et les patches doivent être appliqués aussi vite que possible afin de colmater les failles de sécurité. En scindant en petites parties les systèmes via la micro-segmentation, on peut plus facilement isoler une faille si malgré tout un problème devait survenir. Et si on en arrive là, le chiffrement des données empêche que quelqu’un les détourne.»

Modus operandi préventif

° Comment peut-on améliorer la sécurité ?

O. S. de S. : «J’ai décelé 3 étapes importantes. Tout d’abord, il faut changer d’état d’esprit. Les entreprises interviennent encore trop souvent après coup, lorsque le mal est survenu. Elles doivent évoluer vers un modus operandi préventif. Il ne s’agit pas seulement du département IT, mais de tous les aspects en général. On peut faire l’analogie avec la médecine : on se rend chez le docteur pour prévenir les risques de maladies (par exemple en faisant une cure de vitamines) plutôt que de devoir prendre des antibiotiques lorsqu’on est atteint. Ou en procédant à un examen d’ADN pour essayer de déceler des maladies génétiques susceptibles d’apparaître.

«La deuxième étape consiste à se concentrer totalement sur les applis, car c’est là que réside la complexité (avec un mélange de services dans divers environnements). La troisième étape en est le prolongement : VMware est convaincu qu’une protection efficace des données n’est possible que si la solution de sécurité est d’emblée intégrée à l’architecture, plutôt que de l’installer a posteriori (on top of). C’est ce que nous appelons la security by design.» 

Security by design, cyber-hygiène, deux priorités

° Et qu’en est-il de l’open source ?

O. S. de S. : «L’open source est un business qui connaît un boom extraordinaire. Observez par exemple Kubernetes. Le principe est facile : on écrit le code et on le partage dans la communauté DevOps pour qu’il soit utilisé librement. VMware est bien conscient que son importance est appelée à croître dans les prochains mois et années. Comme le ‘time-to-market’ s’accélère sans cesse, le temps pour les ‘security checks’ a posteriori se réduit. On comprend pourquoi la security by design est si importante en environnement open source. Et comme ce type de logiciel peut être utilisé ‘librement’, un contrôle additionnel s’avère nécessaire.

«C’est la raison pour laquelle VMware a racheté Bitnami. Vous nous transmettez votre code open source, et Bitnami le vérifie par rapport aux principes de base de la cyber-hygiène. S’il est OK, le code est inscrit au catalogue. Il est alors considéré comme sûr, conforme et prêt à être utilisé et adapté à vos spécificités, sur toutes les plates-formes. Ce faisant, la confiance en l’open source ne pourra que grandir.»

(*) Olivier Struye de Swielande, Head of Presales, VMware Belgium – Luxembourg