Les développeurs ont besoin d’accéder à de nombreux appareils et services internes pour créer des logiciels. Mais bon nombre de ces appareils et services sont exposés au Web public, ce qui crée des failles de sécurité.
Ajoutez les défis de la sécurisation du travail à distance et il est clair qu’il y a un équilibre délicat à trouver pour permettre le développement tout en gardant le organisation sécurisée. Nous avons parlé à Avery Pennarun, PDG et co-fondateur du service VPN Tailscale, pour savoir comment y parvenir.
BN : Pourquoi la sécurité est-elle un tel problème pour les développeurs ?
AP : La plupart des startups sont nulles en matière de sécurité car elles essaient de faire avancer les choses rapidement, et jusqu’à récemment, il y avait un compromis–en particulier pour les développeurs–entre le chemin facile et le chemin sécurisé. Le chemin de moindre résistance consistait à créer un environnement de développement sur AWS, à ouvrir les ports du pare-feu et à espérer que personne ne le trouve. Combien d’anciens employés ont encore accès au GitHub de votre startup ? Combien de développeurs laissent accidentellement des ports ouverts ? C’est comme une invitation ouverte aux hackers.
Tailscale a été adopté par les développeurs au cours des deux dernières années, car il constitue le moyen le plus simple pour les développeurs d’opérer et le plus sûr. Pour une fois, les équipes de sécurité et d’ingénierie peuvent être sur la même page. Il n’est pas nécessaire qu’il y ait un compromis.
BN : Cet angle mort de sécurité devient-il un problème plus important en raison du travail à distance ?
AP : Le Shadow IT est devenu omniprésent pendant la pandémie. La plupart des entreprises ont encore un angle mort en matière de connectivité, car il n’y avait pas les mêmes risques lorsque tout le monde était au bureau ensemble.
Si un développeur souhaite partager quelque chose avec un collègue, ce n’est pas un problème si nous sommes tous les deux le même bureau sur le même réseau privé. Mais si nous sommes tous les deux assis à la maison, il n’y a aucun moyen de le faire en toute sécurité. Je dois créer un environnement de développement et ouvrir des ports dans le cloud.
Ces types de solutions de contournement sont à l’origine d’un énorme risque de sécurité. Nous avons résolu ce problème en donnant aux développeurs la possibilité de créer des réseaux à petite échelle, avec des garanties claires sur ce qui peut se connecter à quoi, il est donc plus sûr de laisser les employés utiliser leurs appareils personnels.
BN : Comment le déploiement de petits réseaux privés contribue-t-il à la mission plus vaste ?
AP : Mes cofondateurs et moi avons passé des décennies chez Google, où nous avons créé des produits à l’échelle mondiale. Mais voici le problème : la grande majorité du temps, vos outils doivent simplement être accessibles à partir de petits réseaux d’appareils clients. La plupart du temps, vous n’avez pas besoin d’écrire ou d’utiliser des logiciels pour des milliards d’utilisateurs.
Imaginez si toutes vos communications avec vos amis, votre famille et vos collègues se produisaient sur Twitter public. Ce serait fou, non ? Twitter a certainement un but, mais pour la plupart de vos conversations, vous n’en avez pas besoin-le chat de vos amis WhatsApp ou l’équipe Slack est bien mieux adapté à la tâche et n’a pas d’attaquants et de spammeurs qui se joignent à votre conversation.
Pourtant, la façon dont nous utilisons Internet aujourd’hui revient à compter sur Twitter pour toutes les communications : nous l’utilisons pour faire un tas de choses dont nous n’avons pas besoin. Tous nos appareils se connectent via l’Internet public par défaut. Chaque application ou logiciel qui implique une interaction entre les personnes doit construire toute cette infrastructure pour gérer les interactions sociales sur l’Internet public, et les développeurs font des erreurs.
Si vous réduisez la taille d’Internet à un petit groupe de personnes en qui vous avez confiance, il est beaucoup plus facile d’écrire des logiciels et d’accomplir tout le reste, car presque tous les attaquants ne sont tout simplement pas là.
Pensez à avoir un groupe Whatsapp pour la plupart des tâches que vous devez faire au jour le jour-c’est ce que fait Tailscale Nous permettons aux développeurs de partager instantanément n’importe quel outil ou actif avec exactement le groupe de personnes avec qui vous souhaitez le partager, sans qu’il soit intermédié par un service cloud complexe et des dizaines de différentes applications (qui introduisent chacune leurs propres risques de sécurité). Et vous n’avez pas besoin d’intégrer l’authentification et le chiffrement dans chaque nouvel outil.
BN : Les développeurs et les équipes de sécurité ont toujours eu des problèmes d’alignement. Les réseaux privés permettent-ils une meilleure communication afin de renforcer la sécurité plus tôt dans le processus ?
AP : Absolument. La blague sur les équipes de sécurité est que leur travail consiste à vous empêcher de faire votre travail. Ce qui est bien avec Tailscale, c’est qu’il est plus facile pour les développeurs de faire ce qu’ils veulent faire, mais aussi plus sûr. Ils résolvent donc les deux problèmes. Désormais, la sécurité peut être le héros d’une action qui non seulement rend l’organisation plus sûre, mais facilite également le travail des développeurs.
Plus généralement, je pense que nous allons assister à une évolution vers une plus grande responsabilité quant à la façon dont les organisations configurent leur infrastructure de manière à minimiser l’impact des violations lorsqu’elles se produisent inévitablement. Aujourd’hui, il y a une dynamique du tout ou rien : nous nous concentrons sur la question de savoir s’il y a eu ou non une violation, et dès qu’il y en a une, les entreprises baissent les bras et disent :”Oups ! Je suppose que les pirates ont tout maintenant !”et envoyer la divulgation obligatoire. Mais l’objectif ne doit pas être simplement d’empêcher les failles, mais également de contenir l’impact de celles qui se produisent inévitablement malgré les meilleurs efforts des gens.
Les organisations vont être jugées non pas sur la présence de failles de sécurité, mais sur dans quelle mesure ils ont séparé leurs systèmes et pris des précautions pour minimiser leur impact. Les consommateurs sont de plus en plus avertis à ce sujet-ce n’est pas parce que des pirates ont pénétré dans votre réseau qu’ils auraient dû pouvoir accéder aux données de tout le monde. Cette dernière partie est juste embarrassante, et les gens commencent à le voir de cette façon.
Crédit image : Lightspring/Shutterstock