La dépendance accrue à l’égard d’Internet et des applications Web a exposé les individus, les organisations et les gouvernements à diverses cybermenaces, faisant de la sécurité Web un aspect essentiel de la cybersécurité. Cependant, malgré les efforts déployés pour améliorer la sécurité du Web, divers défis subsistent.
Lors d’un récent atelier avec des responsables de la sécurité, nous avons essayé d’aller au fond de ce qui les maintenait éveillés la nuit.
Voici un résumé de leurs principaux problèmes et nos conseils pour y remédier.
1. Le temps nécessaire pour apporter des modifications à l’aide de processus obsolètes.
De nombreuses entreprises ont des processus obsolètes qui nécessitent l’approbation de diverses parties prenantes avant que des modifications puissent être apportées, ce qui entraîne des retards dans la mise en œuvre des mesures de sécurité. Ce retard augmente l’exposition de l’organisation aux cybermenaces et est encore compliqué par l’autre obstacle majeur dans la sécurité du Web – déterminer qui détient le risque – le Conseil d’administration, CISO, CRO ou PDG. Chacune de ces parties prenantes a une perspective différente sur le risque, ce qui rend difficile de parvenir à un consensus sur les décisions liées à la sécurité. Nous avons découvert qu’un certain nombre d’entreprises avec lesquelles nous avons parlé étaient en effet frustrées par le temps nécessaire pour apporter des modifications, même simples, comme un changement de pare-feu. Le manque de confiance dans les changements est tel qu’ils ont dû lancer des processus où les responsables de la confidentialité, du risque et de la sécurité sont tous réunis pour approuver les changements. Il s’agit manifestement d’un mode de fonctionnement inefficace et probablement du fait que les données sur l’impact des changements dans la production ne sont pas suffisamment claires.Solution
Si les ingénieurs avaient accès à des données de production réelles sur leurs modifications et recevaient ces données en temps réel, ils répondraient à bon nombre des défis énumérés ci-dessus. En combinant le double WAAP d’Edgio (illustration ci-dessous), l’observabilité en temps réel (Core Web Vitals, Errors, cache Hit) et la propagation de la configuration en moins de 60 secondes, les équipes techniques ont pu apporter des modifications avec plus de confiance en une fraction du temps.
2. Défis liés au déplacement à gauche : plus de pression sur les équipes chargées des applications contre les équipes chargées des plates-formes/infrastructures
Le déplacement vers la gauche fait référence à la résolution des problèmes de sécurité au début du cycle de développement, l’idée étant qu’en déplaçant vers la gauche, les entreprises peuvent détecter les bogues plus tôt et mettre les applications en ligne plus rapidement. Cela crée un défi pour les équipes applicatives qui doivent assurer la sécurité sans compromettre la fonctionnalité de l’application. Bien que toutes les entreprises devraient sans aucun doute adopter cette approche, il est clair que, lorsqu’elle est exécutée à grande échelle, elle exerce désormais une pression supplémentaire sur les équipes de développement plutôt que d’être la responsabilité des équipes de plate-forme/infrastructure, comme c’était le cas il y a cinq ans. Comme les équipes de développement ont maintenant un rôle plus important dans la sécurisation des applications web, il est essentiel qu’elles disposent des outils pour le faire aussi efficacement que possible afin qu’elles puissent passer la majorité de leur temps à faire ce qu’elles veulent faire… créer des applications web.Solution
Pour alléger la charge de travail des ingénieurs applications, avec la commande à gauche, il est essentiel de leur donner une solution de sécurité qui s’intègre dans leur processus DevOps existant. EdgeJS (CDN as code) d’Edgio s’intègre à de nombreux outils, dont Jenkins, Github et Gitlab, et donne aux équipes techniques un retour instantané sur les changements proposés et sur l’impact que cela aura sur les CWV d’un site web, le taux d’erreur ou l’efficacité du cache en production. En combinant EdgeJS avec WAAP, les ingénieurs peuvent avoir une solution qui leur permet de faire des mises à jour de configuration en moins de 60 secondes et obtenir des données instantanées sur l’efficacité du changement.3. Manque de talent/efficacité des talents
Tout ce que nous avons entendu de la part de nos participants a indiqué que leurs pratiques de sécurité actuelles sont inefficaces, ce qui a exacerbé le défi général de l’industrie : il n’y a tout simplement pas assez de professionnels de la sécurité INFORMATIQUE pour faire face à un paysage de menaces en constante évolution et en augmentation. Selon l’International information System Security certification Consortium, connu sous le nom d’ISC2, le nombre total de personnes nécessaires en cybersécurité dans le monde a atteint 3,4 millions, soit une hausse de 26,2 % en 2022. La fatigue des alertes, les solutions disjointes et les systèmes difficiles à utiliser étaient également des problèmes courants qui influaient sur la rapidité de réaction des équipes lors de l’identification d’attaques zero-day telles que Log4j.Solution
La technologie d’Edgio peut être prise en charge par un SOC 24x7x365 doté d’ingénieurs accrédités CISSP. Notre équipe SOC est conçue pour alléger la charge supplémentaire des équipes techniques surchargées de nos clients, en fournissant une surveillance et une atténuation complètes combinées à des SLA de pointe. L’équipe est également en attente pour offrir une assistance d’urgence en cas de menaces de jour zéro et, en cas d’incident, fournira des rapports détaillés qui peuvent être utilisés pour informer les cadres.
