Les entreprises ont oublié même l’histoire récente lorsqu’il s’agit d’évaluer les risques liés au cloud, selon un analyste en sécurité, qui espère que la panne de CrowdStrike incitera au moins certaines d’entre elles à dépoussiérer les leçons du passé en matière de résilience informatique.
Chris Steffen
Chris Steffen est vice-président de la recherche sur la sécurité de l’information au sein du cabinet d’analystes Enterprise Management Associates. Il a auparavant occupé divers postes de direction informatique dans des entreprises, notamment HPE et DXC Technology.
Le jour de l’incident de CrowdStrike en juillet, il a posté sur LinkedIn : « Je n’essaie pas de virer qui que ce soit lorsqu’il est en panne, mais ceux qui assimilent la résilience au cloud computing public doivent vraiment réévaluer ces convictions, en particulier pour les charges de travail critiques. Les pannes signalées aujourd’hui étaient exactement les mêmes que celles que nous avons vues auparavant, mais – en tant qu’industrie – ne semblent pas en tirer des leçons. »
Dans cet épisode de Requête des opérations informatiquesSaison 2 : L’état des SecOpsSteffen est devenu plus précis sur les leçons qu’il avait en tête.
“J’étais à Black Hat il n’y a pas si longtemps et je discutais avec [a] personne plus jeune, et je leur ai dit que cela ne m’aurait jamais arrivé si je gérais un environnement de centre de données”, a déclaré Steffen à Beth Pariseau, animatrice du podcast et de TechTarget Editorial. “Nous nous efforcions d’avoir cinq-neuf, [meaning] sur une année donnée, vous étiez en hausse 99,999 % du temps, ce qui se traduit par plusieurs secondes de panne par an. … J’en ai parlé à cette personne, et elle n’avait vraiment aucune idée de ce que c’était.
À l’ère du cloud computing, la fiabilité des infrastructures est devenue en grande partie le problème de quelqu’un d’autre, a déclaré Steffen, jusqu’à ce que ce ne soit plus le cas. Parallèlement, de nombreuses entreprises ayant une faible tolérance au risque ont également oublié le modèle de responsabilité partagée du cloud, a-t-il déclaré.
“J’ai fait des recherches au cours des deux ou trois dernières années sur cette question spécifique. Et chaque année, environ 7 % de tous les répondants — et nous parlons de milliers de personnes au fil des ans — sont revenus. [and] a déclaré que « la sécurité de mon infrastructure relève de la responsabilité du fournisseur de services cloud » », selon Steffen.
Chaque année, environ 7 % de tous les répondants — et nous parlons de milliers de personnes au fil des ans — reviennent [and] a déclaré que « la sécurité de mon infrastructure relève de la responsabilité du fournisseur de services cloud ».
Chris SteffenVice-président de la recherche, Enterprise Management Associates
Il n’est pas possible de revenir en arrière. Mais Steffen a déclaré qu’il aimerait voir les entreprises procéder à une évaluation plus approfondie des risques liés au cloud avant de se lancer dans des services qui les exposent à des pannes potentiellement désastreuses.
“[I’m] Je ne critique pas du tout le cloud”, a-t-il déclaré. “Je suis simplement préoccupé par le fait que les gens utilisent le cloud sans vraiment comprendre pleinement les avantages et les inconvénients de ce type d’environnement.”
Dans l’ensemble, cependant, Steffen a déclaré que SecOps s’est amélioré au fil des ans, en particulier sous l’impulsion de réglementations telles que la règle de divulgation de quatre jours de la SEC pour les violations de cybersécurité. L’IA générative rend également Steffen optimiste quant à l’avenir.
“Devoir un robot IA distiller un CVE dans le langage d’un patron aux cheveux pointus ; l’envoyer à un cadre ; et dire : “Voici ce qui se passe, voici ce que nous faisons à ce sujet, et voici pourquoi vous vous en souciez” – c’est quelque chose. qu’un pratiquant au chapeau en papier d’aluminium n’est plus obligé de le faire”, a-t-il déclaré.
Beth Pariseau, rédactrice principale pour TechTarget Editorial, est une vétéran primée du journalisme informatique couvrant DevOps. Vous avez un conseil ? Envoyez-lui un email ou contactez @PariseauTT.
Chris Steffen
