Optimiser votre cybersécurité - Dans quelle mesure l’architecture informatique est-elle vitale ?

Optimiser votre cybersécurité - Dans quelle mesure l’architecture informatique est-elle vitale ?

Dans le monde hautement connecté d’aujourd’hui, il est rare qu’une seule plate-forme, un seul système ou un seul appareil fasse tout. Cependant, dans ce paysage moderne, nous vivons dans un écosystème florissant d’applications « de pointe » censées partager des données et être accessibles n’importe où, n’importe quand et sur n’importe quel appareil. Les exigences omniprésentes sur les systèmes d’entreprise d’aujourd’hui et la nécessité de « l’avoir maintenant » ont poussé la sécurité et l’architecture à leurs points de rupture. L’architecture est souvent négligée en tant qu’élément essentiel de la position de sécurité globale, visant à atteindre des délais apparemment impossibles. Ou il est la proie de compromis sur le temps ou les coûts.

Dans les premiers jours du développement informatique, il était nécessaire d’utiliser la tuyauterie existante pour fournir des informations entre les systèmes. Les fichiers de dépôt de style EDI étaient répandus sur les voies de communication « Omnibus » telles qu’un serveur FTP ou un emplacement de fichier réseau. Bien que ces voies aient été faciles et rapides à configurer, elles ont créé des voies non seulement pour vos données, mais aussi pour les mauvais acteurs à utiliser pour diffuser du code malveillant.

Une légère amélioration est venue des connexions SQL-to-SQL permettant aux bases de données de se connecter et de partager des informations directement. Malheureusement, ce type de connexion « Omnibus » était également facile pour les mauvais acteurs d’abuser et de manifester des voies malveillantes dans vos données et systèmes.

L’aube des API RESTful

Il y a environ 22 ans, un scientifique nommé Roy Fielding a inventé les API RESTful, et depuis cette étincelle d’intuition, nous n’avons pas regardé en arrière. Vous pouvez considérer une API comme un médiateur entre les utilisateurs ou les clients et les ressources ou services Web qu’ils souhaitent obtenir. C’est également un moyen pour une organisation de partager des ressources et des informations tout en maintenant la sécurité, le contrôle et l’authentification, en déterminant qui a accès à quoi. Maintenant, il a fallu un certain temps pour comprendre l’impact de cette norme dans l’espace technologique. Tout ce qui se rapprochait du « nuage » était encore essentiellement quelque chose qui vivait dans l’imagination des « futuristes ». Mais, dans le monde d’aujourd’hui, cette technologie est devenue nécessaire.

Comme toute technologie, vous pouvez la concevoir de manière non sécurisée, il faut donc faire attention au développement d’API REST basées sur des principes de sécurité. C’est là que l’architecture joue un rôle important. L’architecture établit les meilleures pratiques et fournit un forum à la société pour apprendre et faire évoluer de meilleures normes à mesure que les mauvais acteurs développent des contre-mesures et des moyens de plus en plus imaginatifs de violer votre architecture bien pensée. Aujourd’hui, l’architecture « Purpose Built » est un pilier de sécurité qui a résisté à l’épreuve du temps.

En développant des voies d’intégration entre des systèmes spécifiques et ciblés, vous vous assurez qu’ils ne peuvent pas être utilisés à des fins malveillantes.

Les connexions omnibus doivent être évitées à tout prix. Si vous avez l’intention de partager des informations sur les clients, c’est tout ce qui devrait être possible grâce à cette intégration. Un chemin qui peut partager le numéro de client via un dépôt de fichier vous permet de « partager des fichiers ».  Un fichier peut être exécutable et utilisé pour attaquer d’autres systèmes. Mais une API REST vous permet de partager une connexion délibérée qui ne peut partager qu’un numéro de client à 8 chiffres, si c’est tout ce qui est nécessaire. La seule utilisation malveillante de cette voie serait de partager des flux insignifiants de nombres à 8 chiffres. Ainsi, il est impossible de l’utiliser pour attaquer d’autres systèmes.

Principe du moindre privilège

Le partage de la quantité minimale de données et la restriction élevée de l’interface ou de l’intégration à ses paramètres de fonctionnement spécifiques créent une barrière presque impénétrable contre les abus. S’assurer que l’API n’est accessible que via HTTPS (Secure Encrypted Connection) et dispose d’une gouvernance exécutoire à l’utilisation complète le triangle de sécurité (voir le diagramme ci-dessous sur le principe du moindre privilège, qui stipule qu’un sujet ne doit recevoir que les privilèges nécessaires pour mener à bien sa tâche. En outre, la fonction du sujet (par opposition à son identité) devrait contrôler l’attribution des droits.*). 

S’il n’est pas nécessaire d’exécuter un point de terminaison d’API plus d’une fois par jour, limitez son utilisation à une fois par jour. Cela empêche les attaques DDOS ou des actions similaires qui consomment des ressources inutilement. N’essayez pas de « planifier à l’avance » et de fournir plus de données que nécessaire. Soyez précis sur vos intégrations et ne transmettez que ce qui est nécessaire. Cela garantit que les données transmises ont une valeur commerciale et que les données redondantes ne peuvent pas être exploitées en cas d’exposition involontaire. Prenez des mesures pour protéger l’intégration et restreindre l’accès à son utilisation prévue via la sécurité IP, la liste blanche, les certificats chiffrés, les jetons d’autorisation ou un contrôle d’accès similaire.

Les points d’intégration spécialement conçus et les principes d’architecture dès la conception exigent que chaque point de connexion et de données ait une valeur et un objectif commerciaux. L’assemblage d’une solution d’entreprise de premier ordre en suivant ces directives simples définit le niveau de risque auquel vous vous trouvez et vous donne une base solide pour protéger à l’aide de mesures éprouvées dans l’industrie.

L’expérience de l’architecture dans AMCS

Une première étape critique d’AMCS pour déployer la plate-forme AMCS pour nos clients consiste à concevoir les diagrammes d’architecture globale tels quels et à venir. Ces diagrammes décrivent avec précision le parcours du client depuis son architecture actuelle jusqu’à son architecture finale avec la plate-forme AMCS SaaS Cloud. Comme pour toute solution d’entreprise, les intégrations sont une nécessité pour le succès et les résultats commerciaux positifs. Les voies d’intégration courantes de la plate-forme AMCS comprennent des interfaces avec les systèmes de comptabilité et de grand livre. La plupart des clients s’attendent à un modèle par défaut, un connecteur prêt à l’emploi capable de communiquer avec leur système comptable. Bien qu’en principe cela soit disponible, chaque implémentation passe par un examen architectural distinct nous permettant de configurer notre connecteur pour répondre aux exigences du triangle de sécurité. Nous veillons à ce que seules les informations nécessaires soient incluses dans l’intégration, qu’elles soient limitées aux systèmes et au personnel autorisés et qu’elles ne soient exécutables que dans la mesure nécessaire. Chaque point d’intégration subit cette même révision d’architecture pour s’assurer que l’architecture globale pour nos clients est construite de manière ciblée et limite les risques potentiels.

En résumé, les avantages de l’optimisation de votre cybersécurité grâce à une conception architecturale améliorée sont vastes : réduction de votre profil de risque de sécurité – la propagation de logiciels malveillants et de cyberattaques; améliorer la conformité et le comportement dans l’ensemble de l’organisation, en favorisant une plus grande productivité des utilisateurs et une meilleure sécurité des données et une meilleure classification des audits.

Pour en savoir plus sur AMCS et notre approche de l’architecture et de la sécurité du cloud, veuillez lire ces blogs pertinents :

• Infographie sur la sécurité AMCS par Brian Hayden, vice-président des systèmes d’information AMCS
• Liste de contrôle de la sécurité informatique pour les déchets et le recyclage desentreprises C par Carlos Silva, ingénieur principal en sécurité informatique chez AMCS
• Le cloud est-il sécurisé ? par Brian Hayden, vice-président des systèmes d’information de l’AMCS
• Programme API Accelerator – Comment la plateforme AMCS permet un écosystème interconnecté par Evan Schwartz, architecte d’entreprise en chef d’AMCS
• Les menaces de sécurité augmentent par Brian Hayden, vice-président des systèmes d’information d’AMCS

*Lien de référence