3 erreurs coûteuses dans la sécurité des applications et la sécurité des API et comment les éviter

Octobre est le Mois de la sensibilisation à la cybersécurité, un rappel que protéger votre organisation ne consiste pas seulement à avoir les bons outils, mais à investir de manière intelligente et stratégique dans ceux-ci. Alors que les menaces évoluent et que les budgets se resserrent, il est plus important que jamais pour les leaders de la sécurité de comprendre où vont leurs ressources et si leurs solutions livrent réellement de la valeur.

Les dépenses en cybersécurité devraient connaître une croissance significative au cours de la prochaine décennie. Selon Gartner, le marché mondial de la sécurité de l'information et de la gestion des risques devrait atteindre 267,3 milliards de dollars d'ici 2026. Dans le même temps, cependant, l'incertitude économique et mondiale persistante pousse les leaders d'entreprise à être plus sélectifs, en se concentrant sur la réduction des coûts et l'optimisation de leurs investissements dans la cybersécurité.

Cette réalité place les leaders de la sécurité à un point critique : ils doivent s'assurer que toutes les solutions de sécurité, qu'elles soient nouvelles ou existantes, fonctionnent efficacement dans le cadre d'estimations de coûts précises. Mais sans une compréhension adéquate du fonctionnement d'une solution de sécurité, il peut être facile de consacrer plus de temps, d'argent, de ressources et de personnel que prévu initialement. 

Le fait de ne pas prévoir avec précision ces coûts à l'avance peut entraîner des conflits budgétaires à un moment critique ou même affecter l'allocation budgétaire pour l'année suivante.

Comment les leaders de la sécurité peuvent-ils protéger leurs coûts de sécurité et éviter les maux de tête financiers ? L'un des moyens d'y parvenir est de comprendre les erreurs courantes dans la sélection des fournisseurs qui mènent à des dépassements de budget imprévus.  Examinons trois de ces erreurs et voyons ce que les équipes peuvent faire pour les éviter. 

Erreur n° 1 : Prolongation des délais d'évaluation et de déploiement

Lorsqu'il s'agit d'adopter ou de mettre à niveau des fournisseurs de sécurité, les entreprises sont confrontées à un défi majeur qui met leur activité en danger : le processus long et fastidieux d'évaluation et de déploiement des logiciels, en particulier des solutions telles que les Firewalls d'applications web (WAF) qui traitent les données sensibles et ont un impact sur l'expérience client. Les coûts d'opportunité liés à l'extension des tests, au déploiement ou même à l'approvisionnement peuvent s'accumuler rapidement.

Étendre cette évaluation à une longue Preuve de concept (Preuve de concept) ne fait qu'aggraver le problème. Dans de nombreux cas, les WAF qui s'appuient sur l'intelligence artificielle ou le machine learning ajoutent des délais supplémentaires : leurs périodes d'apprentissage nécessitent du temps pour observer et comprendre le trafic avant de pouvoir agir efficacement. Selon la configuration, tout retard à ce stade peut également exposer les applications à des attaques potentielles ou à des vulnérabilités en raison d'une couverture de sécurité inadéquate.

Même après avoir franchi avec succès la phase de POC, l'approvisionnement et le déploiement peuvent présenter d'autres obstacles. Des structures de tarification complexes et des processus d’approvisionnement peuvent ralentir, voire arrêter l’adoption à des moments critiques si les deux parties peinent à aligner leurs objectifs. Et les déploiements à grande échelle, même pour ajuster le « mode de surveillance » du WAF, peuvent entraîner une perte de temps et de ressources humaines.

Recommandation : rationaliser l'évaluation et le déploiement du WAF. 

Les organisations doivent prioriser les processus d’évaluation et de déploiement guidés par des objectifs et des critères de succès clairement définis.

Pour rationaliser l'évaluation, les équipes devraient confirmer les délais moyens de déploiement, les exigences techniques et les estimations juridiques et d'approvisionnement dès le début du processus. Ils devraient également s'aligner avec le fournisseur sur tout obstacle technologique ou organisationnel dès le départ, afin que les deux parties puissent traiter les obstacles potentiels avant qu'ils ne causent des retards.

En mettant en avant ces détails dès le début et en s'accordant dessus de manière collaborative, les entreprises peuvent réduire les cycles inutiles, raccourcir les délais de déploiement et protéger leurs applications sans coûts superflus ni pression sur le personnel.

Erreur n° 2 : sous-estimer le coût total de possession. 

La sous-estimation du coût total de possession (TCO) d'un WAF peut avoir des répercussions significatives. Au-delà du prix du contrat, divers facteurs tels que les frais, les dépenses de personnel, les temps d'arrêt du site et les dépassements contribuent au coût total de possession (TCO).

Assurer l'efficacité continue de votre WAF peut s'avérer coûteux avec une solution inappropriée. Certains WAF nécessitent plusieurs personnes pour gérer les règles, traiter les faux positifs et surveiller les alertes. D'autres ne sont pas aussi configurables et dépendent fortement des services professionnels ou des équipes de support pour rendre les changements possibles. Comme les applications et les services continuent de se différencier par des expériences numériques uniques, ces coûts imprévus peuvent rapidement augmenter simplement pour atteindre le niveau de protection dont vous avez besoin. Les options de déploiement inflexibles limitent également les opportunités d'économies de coûts, telles que l'edge computing et les fonctions Serverless.

Un service client médiocre ne fait qu'aggraver le problème. "Des accords de niveau de service (SLA) prolongés et des réponses lentes aux tickets peuvent retarder l'atténuation rapide des attaques et le patch virtuel des vulnérabilités, voire empêcher un site de revenir en ligne." Non seulement cela compromet la sécurité en situation de stress, mais cela augmente également le coût total de possession en raison de l'augmentation des tickets d'assistance, des heures supplémentaires pour la réponse aux incidents, des frais de dépassement, et plus encore.

Recommandation : Estimez le coût total de possession avec les parties prenantes interfonctionnelles

L'estimation précise du coût total de possession au-delà du prix du contrat ne peut pas se faire de manière isolée. Les leaders de la sécurité peuvent mieux estimer les coûts potentiels d'un fournisseur de WAF en discutant des implications avec des équipes transversales et en examinant le contenu de première et de tierce partie concernant le fournisseur. 

Parce qu'un WAF implique de nombreuses parties de l'entreprise, interroger les équipes interfonctionnelles fortement impactées, telles que la fiabilité du site, DevOps, le support client et la réponse aux incidents, peut révéler l'impact d'un WAF inefficace. 

Au cours de la phase d'évaluation, les leaders de la sécurité devraient rechercher un fournisseur de WAF qui propose des Accords de niveau de service clairs et des politiques de dépassement pour estimer les coûts potentiels. Ils peuvent également utiliser des sites d'évaluation, comme Gartner Peer Insights, ou tirer parti d'études commandées telles que le Total Economic Impact™ (TEI), pour lire de véritables expériences utilisateur provenant d'entreprises de tailles et de secteurs d'activité variés.

Il est tout aussi important de réfléchir à ce qu'il faut réellement pour tirer de la valeur de l'investissement. Certains WAF nécessitent des services professionnels pour être configurés, optimisés ou maintenus efficacement – des coûts qui peuvent se répéter au fil du temps et s'accumuler rapidement si la solution n'est pas conçue pour une gestion interne aisée. Élargir la portée de vos prévisions de coût total de possession peut vous aider à éviter un effet d'entraînement coûteux qui impacte l'ensemble de l'entreprise.

Erreur n° 3 : Entraver le développement agile et les processus DevOps

Le développement agile pousse les organisations à innover et à maintenir leur avantage concurrentiel. Cependant, tout processus qui ralentit le cycle de vie de développement du logiciel (SDLC) peut entraîner des heures de développement perdues et une perte potentielle de ventes. Lorsque les objectifs de revenus ne sont pas atteints, les budgets de sécurité font souvent l'objet d'un examen plus approfondi, ce qui signifie que les retards dans le cycle de vie de développement du logiciel ne nuisent pas seulement à l'entreprise, mais peuvent également réduire les ressources disponibles pour les équipes de sécurité elles-mêmes.

Malheureusement, la sécurité est souvent stigmatisée comme le "Department of No", et les WAF legacy peuvent entraver les progrès par inadvertance. La mise à jour des règles du WAF devient une tâche délicate et chronophage, car elle risque de compromettre les applications, ce qui entraîne une augmentation du temps de développement et des coûts de main-d'œuvre. De plus, des faux positifs fréquents peuvent entraîner un ajustement excessif des règles WAF, bloquant ainsi de véritables utilisateurs et réduisant les bénéfices potentiels.

L'essor de DevOps a révolutionné les équipes de développement, permettant des flux de travail plus rapides et plus efficaces. Cependant, de nombreux WAF manquent de l'automatisation, de la précision et de la flexibilité nécessaires pour suivre le rythme. Non seulement cela ralentit les cycles de développement, mais cela contribue également à augmenter les coûts de main-d'œuvre, car les équipes passent du temps à résoudre des problèmes ou à réécrire des règles. La technologie SmartParse de Fastly élimine cette friction en permettant aux équipes de déployer des protections WAF à la demande sans se soucier des règles qui pourraient perturber l'application. En éliminant les essais et erreurs qui accompagnent souvent les déploiements de WAF, SmartParse permet aux développeurs de maintenir leur rapidité, de réduire les coûts et de livrer de nouvelles fonctionnalités sans introduire de goulets d'étranglement en matière de sécurité.

Recommandation : choisissez un WAF qui privilégie le développement agile

Le rythme des affaires exige que les développeurs adoptent la philosophie du « Always Be Shipping », et la sécurité doit évoluer pour suivre le rythme. Si la prévention des incidents de sécurité ne suffit pas à protéger leur budget, les dirigeants peuvent démontrer comment l'adoption d'un WAF moderne peut permettre un développement de produits plus rapide et plus sûr.

Lors de l'évaluation d'un WAF, les organisations doivent privilégier les solutions qui permettent à l'entreprise de maintenir sa production, telles qu'intégrer les outils et pratiques DevOps, les mises à jour automatisées des règles, et la prise en charge de plusieurs options de déploiement et architectures, afin de créer de meilleurs flux de travail et de réduire les inefficacités. Choisir ou rester avec un WAF legacy peut avoir une valeur négative s'il entrave le développement de fonctionnalités ou l'innovation.

Optimisez votre investissement WAF : évitez les pièges courants

En passant en revue ces erreurs, il est clair qu'il serait facile pour les équipes de sécurité de dépenser et d'investir bien plus dans un WAF que prévu ou nécessaire à l'origine. Cela peut susciter des conversations difficiles lors de la planification budgétaire, lorsque l'on demande aux leaders de faire plus avec moins. Ces pièges potentiels ne sont pas toujours évidents et peuvent entraîner des inefficacités opérationnelles, une baisse de la réputation du département, voire un environnement de production moins sûr.

Les leaders de la sécurité doivent se sentir habilités à prendre des décisions financièrement judicieuses sans compromettre les performances en matière de sécurité. Choisir un Next-Gen WAF moderne évite non seulement de dépasser votre budget, mais garantit aussi une allocation plus efficace des ressources dans toute l’entreprise, permettant ainsi aux membres de l’organisation d’innover et de travailler en toute confiance.

Pendant le Mois de la Sensibilisation à la Cybersécurité, c’est le moment idéal pour réévaluer votre stratégie WAF actuelle et explorer des solutions spécialement créées pour livrer à la fois sécurité et efficacité. En évitant ces écueils courants, votre équipe peut garder une longueur d'avance sur les menaces et atteindre ses objectifs, non seulement ce mois-ci, mais tout au long de l'année. Parlez à Fastly dès aujourd’hui pour voir comment nous pouvons vous aider à rationaliser votre stratégie WAF et à libérer de la valeur dans toute votre organisation.