Le développeur, ce maillon faible et ignoré de la sécurité des données d’entreprise

Malgré l’utilisation du Cloud ou de serveur de données internes, pourquoi est-il encore nécessaire de sécuriser les laptops des développeurs? Avec un premier article sur ce sujet, je vous explique pourquoi encore aujourd’hui, vos développeurs sont probablement le maillon faible de la protection de vos données. Pour bien comprendre ce problème souvent ignoré ou obscur, voilà un bref rappel historique de l’évolution du stockage de nos données d’entreprises, parfois les plus sensibles.

 

Pourquoi y-a-t-il besoin de laptops sécurisés pour le développement ?

Le besoin de sécuriser les laptops dans les organisations découle des données de l’entreprise qu’ils transportent. De plus, ce problème de sécurité a de multiples facettes : il va de la gestion imprudente des données à la fuite délibérée par un employé malicieux. 

Dans le cas des laptops destinés au développement d’applications, la complexité de la sécurisation est liée à la nature de l’environnement du développeur. 

Les environnements de développement ont des configurations notoirement complexes et nécessitent souvent une maintenance importante. Cela est dû aux nombreuses applications et données présentes dans le stockage interne. La présence de ces données est indépendante des outils en ligne également utilisés pour la collaboration, construction et déploiement des applications, par exemple, les outils CI/CD, Azure DevOps et autres “GitHub”, etc. 

Notamment, dans les cas de laptops de développement, du code source et potentiellement des données de test (ou pire, “anonymisées”) ainsi que des crédences d’accès doivent être présentes dans le stockage local afin de permettre le travail des développeurs.

C’est pourquoi les entreprises doivent sécuriser les laptops des développeurs. 

 

Un problème d’un milliard de dollars

Bref retour en arrière sur le problème de la sécurité des laptops : une étude datant de 2010 intitulée “Le problème d’un milliard de dollars du laptop perdu” (en anglais, The Billion Dollar Lost Laptop Problem) révèle que plus de 86 000 ordinateurs volés ou perdus ont résulté à une perte de 2,1 milliards de dollars. Ce résultat est principalement dû à la perte des données stockées localement sur l’ordinateur. Cependant il faut se rappeler que, en 2010, l’utilisation du Cloud comme support de stockage de données d’entreprise était encore rare. Par conséquent, ce coût devrait probablement être revu dans l’économie actuelle.

Aujourd’hui, pour de nombreuses fonctions (autre que le développement), le Cloud apporte désormais une solution en supprimant les données sensibles des laptops grâce à l’utilisation d’applications web qui accèdent aux données à distance. Par exemple, les données client utilisées pour la vente, ainsi que la plupart des documents et les e-mails des employés sont maintenant stockées en ligne sur le Cloud et accédées par le web. 

Cette  migration a repositionné le débat sur la sécurité des laptops envers la protection de crédences d’accès qui permettent d’accéder à ces ressources d’entreprise, qu’elles soient dans le Cloud ou auto-hébergées, puisque beaucoup des données stockées localement ont disparu.

Il existe cependant une exception notable à cette migration : les laptops utilisés pour le développement d’applications.

Comme je l’ai mentionné, dans la plupart des cas (je parlerai des exceptions plus tard), les laptops fournis aux développeurs nécessitent aujourd’hui une réplique locale des codes source, données de travail, crédences d’accès et autres secrets d’entreprise. En particulier, l’utilisation de stockage en ligne pour le code source tel que GitHub ou GitLab ne pallie en aucun cas à ce besoin car il faut une copie locale des données pour travailler! Par conséquent, l’intérêt pour les entreprises de fournir aux développeurs des laptops d’entreprise sécurisés n’a pas faibli avec l’utilisation du Cloud.

 

Quel est l’intérêt de s’attaquer aux développeurs?

Cet intérêt est très varié. Par exemple, pour avoir accès à de la propriété intellectuelle, au code source, aux données clients, ou à des informations stratégiques de l’entreprise, etc. Le code source révèle en fait très souvent des vulnérabilités de l’application qu’il implémente. Cela peut être une application interne ou une application livrée à un client.  Cela permettrait de l’attaquer, même à distance si elle est déployée sur le Cloud. Une fois compromise, cette dernière peut donner accès à des données sensibles telles que les informations personnelles des utilisateurs. De nombreux piratages récents de ce type ont été subi par des sociétés telles que LastPass (un gestionnaire de mots de passe!), Tesla, Microsoft, et la confédération Suisse. De nombreuses entreprises suisses sont piratées à l’aide de failles d’applications ou à l’aide du vol d’identifiants par hameçonnage, malware ou menace interne depuis les laptops des employés et développeurs.   

Malgré cela, peu d’entreprises sont aujourd’hui en mesure de déterminer avec précision où se trouvent leurs données liées au développement et quelle en sont la nature. De ce fait, elles sont mal informées et mal protégées contre la perte d’un laptop, un attaque externe ou contre un employé indélicat. 

 

Est-il possible de supprimer les données de développement des laptops? 

Oui, mais jusqu’à récemment c’était encore difficile, coûteux et improductif.  
Une solution typique consiste à faire travailler le développeur sur la machine distante, un “remote desktop”. Par exemple, sur une machine virtuelle dans le Cloud. Cela supprime beaucoup de données locales (avec l’exception des crédences d’accès). Malheureusement, cela présente de nombreux inconvénients, notamment sur la productivité du développeur. De plus, c’est complexe à mettre en place, ainsi que coûteux à entretenir et à exploiter.

Ce n’est que récemment, avec les progrès autour de nouvelles technologies de virtualisation, que les entreprises peuvent remplacer les solution très généralistes tel que les “remote desktops” avec une nouvelle approche très ciblées sur le développeur. Ceci dans le but de supprimer l’impact sur la productivité, réduire le coût et même d’augmenter la sécurité..  

Cette nouvelle approche et son historique sera le sujet de mon prochain article. D’ici là, comme d’habitude, vos commentaires et questions sont les bienvenus.