Le monde change : brève réflexion sur le(s) Cloud(s), l’automatisation et l’avenir des pentesteurs

De retour du F5 Forum 2018 au cours duquel j’ai eu le privilège d’intervenir, je ne peux m’empêcher cette réflexion : alors qu’il y a dix ans l’on nous vendait « Le Cloud » (la pilule magique à tous nos maux IT), la réalité aujourd’hui est que les entreprises, toujours plus pragmatiques que les analystes, déploient surtout sur « des Clouds ». Ils sont privés, hybrides, publics (et même alors variés : AWS, Azure) et ils cohabitent avec des applications exploitées en mode SaaS sur encore d’autres Clouds ! Et tout cela, bien entendu, simultanément.

En définitive le Cloud est devenu une commodité, presque un non-sujet : l’accent est mis désormais sur l’automatisation de ces déploiements afin de garantir l’homogénéité de la qualité et de la sécurité (abstraction du fournisseur, libération des contraintes des processus manuels par l’usage de templates de déploiement…).

Cela n’enlève évidemment rien à la qualité des nuages en question, qui exigent plus que jamais une expertise pointue de la part d’équipes très compétentes pour atteindre les niveaux de fiabilité, d’agilité et d’échelle que l’on attend d’eux. Mais aujourd’hui, du point de vue de l’entreprise, qu’elle déploie sur Azure, AWS, un Cloud privé ou une combinaison de tout ça, cela ne change plus grand chose : nous avons atteint un point où l’interface de déploiement peut-être exactement la même car tout passera par des API cachées à l’utilisateur ! Comme le faisait d’ailleurs remarquer un ingénieur lors du F5 Forum « API is the new CLI » 😉

Rarement une approche technologique aura ainsi bénéficié à la fois aux ingénieurs (déploiements facilités, PRA quasi-immédiats, souplesse de migration, réduction des erreurs de configuration), à la finance (capacité à choisir ses fournisseurs Cloud et re-déployer rapidement et aisément en fonction des conditions commerciales changeantes) et à la gouvernance (garantie d’un niveau de qualité et de sécurité homogène, garantie que les configurations sur le terrain sont conformes aux attentes).

Les pentesteurs un peu inquiets...

Bref, c’est une nouvelle ère, et tout le monde est content. Tout le monde ? Pas tout à fait… car lors d’une récente discussion avec l’un de mes confrères, il semble que les premiers pentesteurs à avoir observé eux aussi ce phénomène y voient un risque certain sur leur activité : outre les erreurs humaines, ils reconnaissent bien volontiers compter très largement sur des erreurs de configuration pour réussir leurs missions. Or, grâce à l’automatisation des déploiements, les configurations sont figées dans des tempates validés par le RSSI (et, de préférence, revus régulièrement par ce dernier), ce qui a pour effet de réduire considérablement les erreurs de configuration. Et ce n’est pas de la science-fiction : des groupes internationaux déploient déjà leurs applications critiques de la sorte, à travers le monde sur des fournisseurs Cloud parfaitement hétérogènes avec un niveau de sécurité homogène.

Que les pentesteurs se rassurent, cependant : les erreurs humaines, elles, seront probablement toujours au rendez-vous, et pour encore longtemps. Les professionnels de la sensibilisation y travaillent certes, mais le social engineering a probablement encore de beaux jours devant lui !

Tout ceci indirectement grâce (ou à cause) du Cloud et des pratiques de déploiement d’applications qu’il a favorisé. Qui l’eu cru ?

Bref (bis) : le monde change, et c’est fascinant. Et vous n’aviez pas besoin de moi pour le lire 🙂  

Lire les articles précédents :
La Threat Intelligence en action : enfin un exemple concret !

Ou comment l'usage de techniques simples issues de l'analyse de la menace a permis d'alerter un client d'un risque accru...

Fermer