{"id":297064,"date":"2022-08-05T09:33:38","date_gmt":"2022-08-05T11:33:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/resoudre-la-disponibilite-contre-la-securite-un-conflit-constant-dans-linformatique\/"},"modified":"2022-08-05T09:33:40","modified_gmt":"2022-08-05T11:33:40","slug":"resoudre-la-disponibilite-contre-la-securite-un-conflit-constant-dans-linformatique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/resoudre-la-disponibilite-contre-la-securite-un-conflit-constant-dans-linformatique\/","title":{"rendered":"R\u00e9soudre la disponibilit\u00e9 contre la s\u00e9curit\u00e9, un conflit constant dans l&#8217;informatique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les exigences commerciales conflictuelles sont un probl\u00e8me courant &#8211; et vous le trouvez dans tous les recoins d&#8217;une organisation, y compris dans les technologies de l&#8217;information.  R\u00e9soudre ces conflits est indispensable, mais ce n&#8217;est pas toujours facile \u2013 bien qu&#8217;il existe parfois une nouvelle solution qui aide.<\/p>\n<p>Dans la gestion informatique, il y a une lutte constante entre les \u00e9quipes de s\u00e9curit\u00e9 et d&#8217;exploitation.  Oui, les deux \u00e9quipes veulent en fin de compte disposer de syst\u00e8mes s\u00e9curis\u00e9s plus difficiles \u00e0 violer.  Cependant, la s\u00e9curit\u00e9 peut se faire au d\u00e9triment de la disponibilit\u00e9 \u2013 et vice versa.  Dans cet article, nous examinerons le conflit entre la disponibilit\u00e9 et la s\u00e9curit\u00e9, ainsi qu&#8217;une solution permettant de r\u00e9soudre ce conflit.<\/p>\n<h2 style=\"text-align: left\"><strong>L&#8217;\u00e9quipe des op\u00e9rations se concentre sur la disponibilit\u00e9\u2026 les \u00e9quipes de s\u00e9curit\u00e9 se verrouillent<\/strong><\/h2>\n<p>Les \u00e9quipes op\u00e9rationnelles auront toujours la stabilit\u00e9, et donc la disponibilit\u00e9, comme priorit\u00e9 absolue.  Oui, les \u00e9quipes op\u00e9rationnelles feront \u00e9galement de la s\u00e9curit\u00e9 une priorit\u00e9, mais uniquement dans la mesure o\u00f9 elle touche \u00e0 la stabilit\u00e9 ou \u00e0 la disponibilit\u00e9, jamais en tant qu&#8217;objectif absolu.<\/p>\n<p>Cela se traduit par l&#8217;objectif de disponibilit\u00e9 des \u00ab\u00a0cinq neuf\u00a0\u00bb qui d\u00e9finit une exigence incroyablement \u00e9lev\u00e9e\u00a0: qu&#8217;un syst\u00e8me fonctionne et soit disponible pour r\u00e9pondre aux demandes 99,999\u00a0% du temps.  C&#8217;est un objectif louable qui satisfait les parties prenantes.  Des outils tels que la haute disponibilit\u00e9 aident ici en fournissant des redondances au niveau du syst\u00e8me ou du service, mais les objectifs de s\u00e9curit\u00e9 peuvent rapidement entraver l&#8217;atteinte des &#8220;cinq neuf&#8221;.<\/p>\n<p>Pour les \u00e9quipes de s\u00e9curit\u00e9, l&#8217;objectif ultime est d&#8217;avoir des syst\u00e8mes aussi verrouill\u00e9s que possible, r\u00e9duisant la surface d&#8217;attaque et les niveaux de risque globaux au minimum absolu.  En pratique, les \u00e9quipes de s\u00e9curit\u00e9 peuvent exiger qu&#8217;un syst\u00e8me soit mis hors service imm\u00e9diatement et non dans deux semaines, ce qui r\u00e9duit la disponibilit\u00e9 afin de corriger imm\u00e9diatement, sans parler des cons\u00e9quences pour les utilisateurs.<\/p>\n<p>Il est facile de voir que cette approche cr\u00e9erait un \u00e9norme casse-t\u00eate pour les \u00e9quipes op\u00e9rationnelles.  Pire encore, l\u00e0 o\u00f9 la haute disponibilit\u00e9 a vraiment aid\u00e9 les \u00e9quipes op\u00e9rationnelles \u00e0 atteindre leurs objectifs de disponibilit\u00e9 et de stabilit\u00e9, elle peut en fait aggraver les choses pour les \u00e9quipes de s\u00e9curit\u00e9 qui doivent d\u00e9sormais s&#8217;occuper d&#8217;un nombre exponentiellement accru de serveurs ou de services, qui n\u00e9cessitent tous une protection et une surveillance.<\/p>\n<h2 style=\"text-align: left\"><strong>Quelle bonne pratique suivre ?<\/strong><\/h2>\n<p>Cela cr\u00e9e un conflit entre les op\u00e9rations et la s\u00e9curit\u00e9, ce qui signifie que les deux groupes sont rapidement en d\u00e9saccord sur des sujets tels que les meilleures pratiques et les processus.  En ce qui concerne les correctifs, une politique de correctifs bas\u00e9e sur une fen\u00eatre de maintenance entra\u00eenera moins de perturbations et augmentera la disponibilit\u00e9 car il y a un d\u00e9lai de plusieurs semaines entre les efforts de correctifs et les temps d&#8217;arr\u00eat associ\u00e9s.<\/p>\n<p>Mais il y a un hic : les fen\u00eatres de maintenance ne se corrigent pas assez rapidement pour se d\u00e9fendre correctement contre les menaces \u00e9mergentes, car ces menaces sont souvent activement exploit\u00e9es quelques minutes apr\u00e8s leur divulgation (ou m\u00eame avant la divulgation, par exemple Log4j).<\/p>\n<p>Le probl\u00e8me se produit dans tous les types de charges de travail et peu importe que vous utilisiez la derni\u00e8re approche DevOps, DevSecOps ou n&#8217;importe quelle autre approche comme la saveur du jour.  En fin de compte, soit vous corrigez plus rapidement pour des op\u00e9rations s\u00e9curis\u00e9es au d\u00e9triment de la disponibilit\u00e9 ou des performances, soit vous corrigez plus lentement et prenez des risques inacceptables avec la s\u00e9curit\u00e9.<\/p>\n<h2 style=\"text-align: left\"><strong>\u00e7a devient vite tr\u00e8s compliqu\u00e9<\/strong><\/h2>\n<p>D\u00e9cider \u00e0 quelle vitesse patcher n&#8217;est que le d\u00e9but.  Parfois, le patch n&#8217;est pas simple.  Vous pourriez, par exemple, avoir affaire \u00e0 des vuln\u00e9rabilit\u00e9s au niveau du langage de programmation &#8211; qui \u00e0 leur tour ont un impact sur les applications \u00e9crites dans ce langage, par exemple, <a rel=\"nofollow noopener\" href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-31626\" target=\"_blank\">CVE-2022-31626<\/a>une vuln\u00e9rabilit\u00e9 PHP.<\/p>\n<p>Lorsque cela se produit, un autre groupe participe au conflit entre disponibilit\u00e9 et s\u00e9curit\u00e9\u00a0: les d\u00e9veloppeurs qui doivent g\u00e9rer une vuln\u00e9rabilit\u00e9 au niveau du langage en deux \u00e9tapes.  Tout d&#8217;abord, en mettant \u00e0 jour la version linguistique en question, ce qui est la partie la plus facile.<\/p>\n<p>Mais la mise \u00e0 jour d&#8217;une version linguistique n&#8217;apporte pas seulement des am\u00e9liorations de s\u00e9curit\u00e9 ;  elle apporte \u00e9galement d&#8217;autres changements fondamentaux.  C&#8217;est pourquoi les d\u00e9veloppeurs doivent passer par une deuxi\u00e8me \u00e9tape\u00a0: compenser les changements au niveau du langage apport\u00e9s par la r\u00e9\u00e9criture du code de l&#8217;application.<\/p>\n<p>Cela signifie \u00e9galement un nouveau test et m\u00eame une recertification dans certains cas.  Tout comme les \u00e9quipes op\u00e9rationnelles qui veulent \u00e9viter les temps d&#8217;arr\u00eat li\u00e9s au red\u00e9marrage, les d\u00e9veloppeurs veulent vraiment \u00e9viter les modifications de code \u00e9tendues aussi longtemps que possible, car cela implique un travail majeur qui, oui, assure une s\u00e9curit\u00e9 plus stricte &#8211; mais laisse autrement les d\u00e9veloppeurs sans rien \u00e0 montrer pour leur temps. .<\/p>\n<p>Vous pouvez facilement voir pourquoi les processus actuels de gestion des correctifs provoquent un conflit \u00e0 plusieurs niveaux entre les \u00e9quipes.  Une politique de haut en bas peut r\u00e9soudre le probl\u00e8me dans une certaine mesure, mais cela signifie g\u00e9n\u00e9ralement que personne n&#8217;est vraiment satisfait du r\u00e9sultat.<\/p>\n<p>Pire encore, ces politiques peuvent souvent compromettre la s\u00e9curit\u00e9 en laissant les syst\u00e8mes non corrig\u00e9s pendant trop longtemps.  L&#8217;application de correctifs aux syst\u00e8mes \u00e0 des intervalles hebdomadaires ou mensuels en pensant que le risque est acceptable, au niveau de menace actuel, conduira t\u00f4t ou tard \u00e0 une confrontation avec la r\u00e9alit\u00e9 qui donne \u00e0 r\u00e9fl\u00e9chir.<\/p>\n<p>Il existe un moyen d&#8217;att\u00e9nuer consid\u00e9rablement &#8211; ou m\u00eame de r\u00e9soudre le conflit entre les correctifs imm\u00e9diats (et les perturbations) et les correctifs diff\u00e9r\u00e9s (et les failles de s\u00e9curit\u00e9).  La r\u00e9ponse r\u00e9side dans un patching sans interruption et sans friction, \u00e0 tous les niveaux ou au moins \u00e0 autant de niveaux que possible.<\/p>\n<h2 style=\"text-align: left\"><strong>Un patch sans friction peut r\u00e9soudre le conflit<\/strong><\/h2>\n<p>Le correctif en direct est l&#8217;outil de correctif sans friction que votre \u00e9quipe de s\u00e9curit\u00e9 devrait rechercher.  Gr\u00e2ce \u00e0 la correction en direct, vous corrigez beaucoup plus rapidement que les fen\u00eatres de maintenance r\u00e9guli\u00e8res ne pourraient jamais esp\u00e9rer atteindre, et vous n&#8217;avez jamais besoin de red\u00e9marrer les services pour appliquer les mises \u00e0 jour.  Patching rapide et s\u00e9curis\u00e9, avec peu ou pas de temps d&#8217;arr\u00eat.  Un moyen simple et efficace de r\u00e9soudre le conflit entre disponibilit\u00e9 et s\u00e9curit\u00e9.<\/p>\n<p>\u00c0 <a rel=\"nofollow noopener\" href=\"https:\/\/tuxcare.com\/\" target=\"_blank\">TuxCare<\/a> nous fournissons des correctifs complets en direct pour les composants critiques du syst\u00e8me Linux, ainsi que des correctifs pour plusieurs langages de programmation et versions de langage de programmation qui se concentrent sur les probl\u00e8mes de s\u00e9curit\u00e9 et n&#8217;introduisent aucun changement au niveau du langage qui autrement forcerait la refactorisation du code &#8211; votre code continuera \u00e0 fonctionner tel quel, uniquement en toute s\u00e9curit\u00e9.  M\u00eame si votre entreprise s&#8217;appuie sur des applications non prises en charge, vous n&#8217;aurez pas \u00e0 vous soucier des vuln\u00e9rabilit\u00e9s qui se propagent dans vos syst\u00e8mes via une faille de langage de programmation &#8211; et vous n&#8217;avez pas non plus besoin de mettre \u00e0 jour le code de l&#8217;application.<\/p>\n<p>Donc, pour conclure, dans le conflit entre disponibilit\u00e9 et s\u00e9curit\u00e9, <a rel=\"nofollow noopener\" href=\"https:\/\/tuxcare.com\/live-patching-services\/\" target=\"_blank\">correction en direct<\/a> est le seul outil qui peut r\u00e9duire consid\u00e9rablement la tension entre les op\u00e9rations et les \u00e9quipes de s\u00e9curit\u00e9. <\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/resolving-availability-vs-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les exigences commerciales conflictuelles sont un probl\u00e8me courant &#8211; et vous le trouvez dans tous les recoins d&#8217;une organisation, y compris dans les technologies de l&#8217;information. R\u00e9soudre ces conflits est indispensable, mais ce n&#8217;est pas toujours facile \u2013 bien qu&#8217;il existe parfois une nouvelle solution qui aide. Dans la gestion informatique, il y a une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":297065,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,902,3669,841,4158,4165,4161,429,43832,4157,4159,4171,4170,72567,4167,4160,4163,4162,11982,1835,4172,4169,4166,4164],"class_list":["post-297064","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-conflit","tag-constant","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-disponibilite","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linformatique","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-resoudre","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/297064","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=297064"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/297064\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/297065"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=297064"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=297064"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=297064"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}