Renforcer la sécurité, c’est porter les stratégies edge cloud des services financiers vers l’avant

D’après le secteur, le temps consacré à l’optimisation de la rapidité et des performances constitue l’une des principales motivations au déploiement d’une stratégie cloud dédiée. Cette fois c’est différent. Le secteur des services financiers (Finserv) reste absorbé par la sécurité en dépit de l’importance des performances qui, depuis toujours, sont reléguées au deuxième, voire au troisième plan. Cependant, notre rapport spécialisé sur l’édition numérique révèle que les principaux éditeurs partagent une même motivation : optimiser les performances de leurs sites et de leurs applications en offrant des temps de chargement nettement inférieurs à ceux d’autres secteurs. En général, les revenus des éditeurs sont générés par le trafic web. Réduire les temps de chargement, c’est améliorer les classements, l’expérience utilisateur et l’engagement. Pour d’autres secteurs, la pression est moins forte : côté amélioration des performances, la moindre milliseconde n’affecte pas directement leurs revenus ni leur rentabilité. 

Finserv vs Fintech

Axée sur les progrès technologiques, la Fintech introduit généralement des solutions innovantes. Pour sa part, le Finserv incarne un secteur bien établi qui propose des opérations et des services financiers traditionnels. Généralement focalisée sur les performances du site, la Fintech vise à gratter quelques fractions de seconde çà et là. En effet, ce groupe se concentre sur le traitement des paiements et les transactions. Il est facile d’imaginer ce qui pousse des entreprises comme Stripe ou PayPal à se soucier de la sécurité et de la disponibilité de leur site, mais elles sont dans une perpétuelle quête de rapidité et d’efficacité. En revanche, il leur faut transmettre de nombreuses informations et données financières à leurs collaborateurs et à leurs clients. L’activité réelle se déroule hors de l’Internet public ou englobe tout du moins un volume de transactions radicalement différent de celui que doivent gérer des entreprises comme Stripe. 

Pourquoi changer ce qui fonctionne (même si c’est lent) ?

Les risques liés aux violations de données et à l’insécurité dépassent de loin ceux associés à des performances ralenties. Depuis toujours, les organismes financiers privilégient la stabilité et la sécurité, préférant protéger leur infrastructure de prestation contre le changement et les risques. Hautement réglementées, les institutions financières doivent traiter des données ultrasensibles de grande valeur : la moindre violation de données peut s’avérer désastreuse. Les temps d’arrêt et les efforts d’atténuation associés se traduisent directement par une perte de revenus, d’autant que le risque de nuire à la réputation et aux bénéfices de demain est énorme. Par ailleurs, la responsabilité en la matière peut entraîner des sanctions financières ou donner lieu à des recours en justice et en conformité. Autant de facteurs qui affectent davantage l’entreprise et ses performances.

Les sociétés de services financiers ont souvent affaire à des particuliers fortunés ou de grands comptes. Les répercussions négatives d’un tel événement peuvent motiver ces derniers à engager le coût nécessaire pour changer d’institution. Un facteur synonyme de lourdes pertes. Il est facile d’imaginer pourquoi ces établissements se montrent aussi frileux, préférant sécuriser leurs applications. 

Améliorer la sécurité pour compenser les coûts du changement

La plupart des institutions financières exercent depuis de nombreuses années, les plus grandes d’entre elles ayant vu le jour bien avant Internet. Ces organismes peuvent redouter le changement, probablement enracinés depuis des décennies dans un réseau de fournisseurs obsolètes aux architectures et aux implémentations complexes. À eux seuls, les gains de performance ne suffisent pas à convaincre le DevOps ni la haute direction à se lancer. Face aux légers ralentissements et à une stabilité sommaire, ils hésitent à engager les frais ponctuels qui leur permettront de remplacer leur réseau de distribution de contenu (CDN), et ce même si les avantages sont manifestes. 

Les secteurs qui n’ont pas encore remplacé leurs fournisseurs archaïques se réveillent : l’environnement de sécurité évolue et de nouvelles solutions, plus performantes, voient le jour, à l’instar des outils de protection des applications web et des API (WAAP), des pare-feu d’applications web (WAF) et de la gestion des bots. Pour les RSSI et les ingénieurs sécurité, les outils de sécurité hautement intégrés ont été améliorés et justifient aujourd’hui le coût d’un tel changement, autrefois trop élevé au regard des seules améliorations de performances. Désormais, les blocages sont plus précis, les efforts de personnalisation et de maintenance fortement allégés et la résolution des incidents bien plus rapide. Cerise sur le gâteau, les équipes DevOps sont ravies : le délestage des serveurs d’origine augmente, les frais de sortie diminuent et la distribution des sites et des applications s’accélère.

Grandes migrations : 10 avantages de sécurité 

Côté simplicité d’utilisation, précision, effort, productivité des équipes et renseignements avancés sur les menaces, les meilleurs outils de sécurité ont fait un bond en avant. 

Chez Fastly, nous rencontrons régulièrement des clients qui ne connaissent pas leurs besoins. Lorsqu’ils adoptent nos solutions de nouvelle génération, ils s’attendent à utiliser un pare-feu d’applications web et un système gestion des bots traditionnels (avec de nombreux faux positifs, une utilisation complexe, une visibilité limitée et une gestion/actualisation fastidieuse des règles RegEx). Une fois qu’ils ont compris qu’une solution efficace pouvait leur simplifier le quotidien, les clients comme Duolingo ne reviennent jamais en arrière. Ces 10 critères correspondent aux attentes que vous pouvez exiger. Ils incarnent les motivations qui poussent les équipes à s’engager sur la voie de la migration. 

1. Simplicité d’utilisation

L’outil doit être facile à utiliser. Vous ne devez pas pour autant vous appuyer sur la simplicité des pare-feu d’applications web et des outils de sécurité obsolètes, dont le niveau est très bas. Cette évolution fondamentale permet de réduire facilement les faux positifs et de renforcer votre sécurité sans sacrifier les performances. L’opération doit être un jeu d’enfant et vous permettre de gérer en temps réel les nouvelles menaces. 

Côté déploiement et gestion des nouvelles menaces, les délais de protection doivent être extrêmement courts. Une solution efficace vous permet de réagir en quelques minutes, au lieu de plusieurs jours ou plusieurs semaines. Vous devez pouvoir obtenir facilement des renseignements et répondre à des questions simples, comme « quelle est la cause de ce pic de trafic ? » ou « ce trafic est-il légitime ?». 

2. Amélioration du contrôle et réduction de la dépendance à des services professionnels

L’outil doit renforcer le contrôle de l’équipe. Sa simplicité d’utilisation doit vous permettre de mieux exercer ce contrôle. Vous devez pouvoir modifier les configurations et les règles en toute sérénité et en toute sécurité, mais aussi suivre l’impact de ces modifications dans un environnement de test en temps réel pour les mettre en œuvre dans la foulée. Nombreuses sont les entreprises à subir des goulots d’étranglement en raison de l’intervention d’équipes de services professionnels. Particulièrement coûteuse et lente, cette option s’accompagne de délais de protection désastreux dès que l’entreprise doit s’adapter à une nouvelle attaque. 

3. Déploiement rapide et simple

Ces nouvelles solutions doivent garantir un déploiement et une protection opérationnelle en quelques minutes (contre plusieurs semaines, voire mois). Point à la ligne. Ces qualités vous permettent d’identifier en amont leur flexibilité d’utilisation sur le long terme. Disposer d’un grand nombre de clients témoignant de cette expérience est de bon augure. Ainsi, Fastly privilégie la simplicité de déploiement. Nos pare-feu d’applications web nouvelle génération sont opérationnels en moins de dix minutes. En savoir plus. 

À l’issue du déploiement initial, les développeurs doivent pouvoir déployer la solution dans leurs flux de travail en un clin d’œil. Avec Terraform et la compatibilité CI/CD globale, les déploiements deviennent instantanés grâce aux mises à jour et aux correctifs publiés. Cela permet d’améliorer le flux de travail DevSecOps du processus de développement. 

4. Déploiement universel (consolidation des fournisseurs en prime !)

La simplicité d’utilisation repose en partie sur une expérience unifiée. Ainsi, si vous devez utiliser plusieurs instances de pare-feu d’applications web pour personnaliser et gérer vos règles de sécurité, peu importe qu’une seule d’entre elles soit facile à utiliser : votre sécurité se limite à celle du maillon le plus faible. Supposons que vous ne puissiez protéger immédiatement qu’une partie de votre entreprise. Votre sécurité est alors incomplète, puisque la protection du reste de l’infrastructure dépend de l’engagement de services professionnels. 

Synonyme de flexibilité de déploiement sur toutes les infrastructures, la simplicité garantit également une observabilité centralisée sur tous les environnements. Cloud, conteneurs, centres de données sur site, environnements hybrides ou périphérie : vous avez la possibilité de choisir votre architecture sans que la sécurité ne devienne un véritable casse-tête. 

ET EN PRIME : la consolidation des fournisseurs ! En général, cette solution vous permet en prime de consolider vos fournisseurs de sécurité puisque vous éliminez les solutions isolées qui ne résolvent qu’une partie du problème. Outre les avantages en termes de sécurité et d’usabilité, vous profitez d’économies substantielles. 

5. Précision sans faux positifs

Les faux positifs ne doivent plus poser problème. Dans le cas contraire, c’est que votre pare-feu d’applications web est obsolète. Plus efficaces et innovantes, les nouvelles solutions simplifient le processus : profitez d’un blocage innovant sans faux positifs. En savoir plus sur l’évolution du blocage. 

Définir par défaut les seuils pour vos attaques (vous permettant de débloquer sur-le-champ) vous garantit un retour sur investissement rapide : vous entrez en mode de blocage sans devoir vous soucier des faux positifs. Fort d’une visibilité inégalée, vous pouvez modifier les seuils dans le temps avec une extrême précision. Profitez d’une atténuation optimisée des faux positifs.

6. Création et gestion de règles simplifiées

La gestion de règles doit être facile, simple et transparente. La création et le déploiement d’une règle efficace et fiable qui ne génère aucun faux positif ne doivent prendre que quelques minutes. Pour concevoir des règles adaptées aux éléments détectés, ces outils doivent rimer avec flexibilité. Les règles Regex peuvent s’avérer utiles. Même si vous pouvez continuer à les utiliser à des fins de protection, vous devez adopter de nouvelles solutions plus simples pour bloquer rapidement les nouvelles menaces dès leur identification.

7. Blocage anticipé et renseignement sur les menaces

Pour la plupart des utilisateurs, le pare-feu d’applications web s’inscrit comme un outil 100 % réactif. Pourtant, les fonctionnalités avancées de renseignement sur les menaces offrent une aide encore plus précieuse : elles permettent de bloquer ces menaces avant qu’elles ne ciblent ou n’atteignent votre pare-feu. En outre, elles peuvent bloquer d’importantes sections de trafic illégitime autrefois difficiles à identifier et réduire considérablement le trafic à la base de votre système. Pour en savoir plus, consultez ce rapport rédigé par Fastly sur Network Learning Exchange, qui vous permet de déployer un blocage anticipé basé sur les adresses IP.

8. Gestion des bots

Pour l’environnement de sécurité, l’impact des bots est énorme et ne cesse de s’étendre. Votre solution de gestion des bots ne doit négliger aucun des points ci-dessus, en particulier la simplicité d’utilisation et de déploiement, l’amélioration du contrôle, la présentation sans faux positifs et le renseignement sur les menaces. Mais pour en tirer pleinement parti, vous devez l’intégrer entièrement à votre pare-feu d’applications web afin d’obtenir un système centralisé déployé dans l’ensemble de l’entreprise. Votre solution de gestion des bots doit permettre de consolider vos fournisseurs et non complexifier votre sécurité.

9. Observabilité et renseignements exploitables

Dès le départ, vous devez disposer de tableaux de bord en temps réel permettant d’obtenir des renseignements à partir de vos données. L’objectif ? Identifier rapidement ce qui se passe, pourquoi et comment résoudre rapidement le problème. Cette nouvelle fonctionnalité vous semble trop belle pour être vraie ? Et pourtant, c’est précisément ce qui incite les entreprises à investir dans le changement. Découvrez l’exemple de Stripe, qui a pu s’offrir une visibilité en temps réel sur son trafic avec Fastly.

Votre accès doit être complet sous tous les angles et ne pas se limiter aux tableaux de bord, aux services professionnels, ni aux rapports génériques. Vous devez pouvoir consulter en temps réel vos journaux et toutes vos données, mais aussi les diffuser quand et où vous le souhaitez. Ces données sont les vôtres. Vous devez pouvoir y accéder intégralement. 

10. Support

La satisfaction client doit être optimale et s’accompagner du support digne d’un fournisseur. Vous devez pouvoir résoudre rapidement les problèmes de sécurité avec des solutions garantissant la sécurité des clients. Le support client ne doit pas constituer un goulot d’étranglement supplémentaire. Lorsque vous identifiez une faille, il doit offrir des délais de résolution optimisés et empêcher l’exposition prolongée de votre entreprise.

Côté sécurité : avantages des plateformes

En général, les dix avantages de sécurité ci-dessus incitent les entreprises à se lancer dans le processus de migration. Pour autant, adopter une plateforme edge cloud optimisée permet d’accroître les avantages multiplateformes. Envisagez le taux de connexion au cache et le délestage des serveurs d’origine comme des indicateurs de sécurité qui vous permettent de réduire la surface d’attaque à l’origine. Avec un edge computing hautement sécurisé comme celui de Fastly (grâce au sandboxing et à la séparation par requête), les charges de travail exécutées en périphérie renforcent votre sécurité. Améliorer les intégrations CI/CD, c’est assurer une couverture plus complète et simplifier le DevSecOps. Pour en savoir plus, consultez le livre blanc AppSec Guide to Multi-Layer Security (Guide de sécurité des applications sur la sécurité multicouche). 

Sécurité : délestage des serveurs d’origine et économies sur les frais de sortie

Même si la sécurité peut conduire ces migrations, choisir minutieusement une plateforme edge cloud optimisée avec une offre de sécurité supérieure, c’est profiter d’autres avantages non négligeables.  

Les entreprises se penchent sur le délestage des serveurs d’origine pour quatre grandes raisons. Pour connaître les autres motivations, contactez-nous. Nous serons ravis de vous fournir plus d’informations.

1. Réduire le trafic qui atteint le serveur d’origine

Votre visibilité sur les demandes malveillantes/illégitimes qui touchent vos sites et vos applications est insuffisante ? Difficile alors de dissocier le trafic généré par les bots et les attaques de celui des véritables requêtes. Améliorer la visibilité et le blocage (sans faux positifs) peut jouer un rôle déterminant pour réduire le volume de trafic vers le serveur d’origine. 

2. Réduire fortement les frais de sortie

Un blocage plus précis s’accompagne non seulement d’une diminution quantifiable du trafic, mais aussi d’une réduction des frais de sortie. Vous n’avez plus à diffuser de contenu vers ce trafic illégitime. Même si la migration est motivée avant tout par l’amélioration de la sécurité, vous avez la possibilité de choisir une plateforme edge qui offre des performances accrues en matière de distribution de contenu et un délestage amélioré du serveur d’origine. Plusieurs pistes s’offrent à vous pour réduire fortement les frais de sortie. Poursuivez la lecture de cet article pour en savoir plus sur les fonctionnalités de mise en cache avancées. Pour plus d’informations à ce sujet, passez à la section suivante.

3. Réduire l’infrastructure et les dépenses en capital (CapEx) 

Adopter une plateforme de distribution de contenu optimisée, c’est réduire le trafic illégitime, améliorer la mise en cache et profiter du délestage du serveur d’origine. Mais pas uniquement : vous pouvez aussi revoir l’infrastructure de votre serveur d’origine à la baisse, en fonction du nouveau trafic de référence, lui aussi réduit. Vous êtes assuré(e) de pouvoir gérer les gros pics de trafic légitime en périphérie sans affecter l’origine et de bloquer les pics de trafic illégitime en périphérie, avant qu’ils ne vous atteignent. Vous éliminez ainsi les risques liés aux frais de dépassement tout en optimisant la prévisibilité des coûts. 

4. Réduire la maintenance grâce à une infrastructure optimisée

Vous pouvez certes réduire vos dépenses en capital (CapEx), mais vous pouvez aussi alléger vos dépenses opérationnelles (OpEx). En effet, l’amélioration du blocage et du délestage du serveur d’origine vous permet de réduire vos investissements d’infrastructure. Fortes d’une couverture réduite, vos équipes se libèrent des activités de maintenance, de mise à niveau, d’entretien et de sécurité pour se concentrer sur la résolution des autres problèmes de l’entreprise. 

Plateforme + mise en cache optimisées = économies substantielles

Attention, vous pourriez facilement croire que tous les réseaux de distribution de contenu se valent, notamment lorsque vos critères en termes de priorité et le processus décisionnel se concentrent massivement sur la sécurité. Pour de nombreux organismes financiers, le processus décisionnel autour du réseau de distribution de contenu repose sur le principe que la vitesse et le délestage doivent être « suffisants ». C’est pourtant l’apanage des solutions en place depuis 20 ans. Les indicateurs de délestage peuvent vous induire en erreur : si vous ne savez pas l’interpréter, une différence notable peut vous paraître insignifiante. Ainsi, dans les graphiques ci-dessous, vous constaterez qu’un « CDN performant » vous permet d’atteindre un délestage de 95 % (ou plus) alors qu’un « CDN suffisant » approche les 90 %. Vous pourriez croire que cela n’est pas bien important et qu’une différence de 5 % n’a rien de prioritaire. Pourtant, si vous examinez le second graphique (Trafic vers le serveur d’origine), vous constaterez que le trafic vers le serveur d’origine est réduit de moitié ! 

Si le trafic total de départ est de 100 Go, un « CDN performant » en délestera 95 % : seuls 5 Go atteindront le serveur d’origine. Un « CDN suffisant » n’en délestera que 90 % : près de 10 Go (soit le double) atteindront le serveur d’origine.

Une amélioration de 5 % des performances de délestage du CDN peut se traduire par une réduction de 50 % de la charge au niveau du serveur d’origine.

Mettre en cache l’impossible

Les plateformes edge cloud et les CDN haut de gamme dépasseront toujours de loin les CDN obsolètes, même s’ils sont « suffisants ». Tout cela pour plusieurs raisons (pour toutes les connaître, contactez-nous). Pour améliorer les indicateurs de performances et de délestage du serveur d’origine, vous pouvez tout simplement mettre en cache le contenu dynamique. Pour les secteurs comme celui des services financiers, certains contenus sont impossibles à mettre en cache, à l’instar du trafic des API. Ils considèrent, à tort, que leur caractère hautement dynamique et leur mise à jour fréquente empêchent le CDN de les prendre en charge. Au-delà des services financiers, tous ces secteurs laissent échapper une formidable occasion, du SaaS à la santé en passant par tous les acteurs ayant sous-estimé les avantages d’optimiser la mise en cache.

Instant Purge™ de Fastly en 150 ms à l’échelle mondiale (au 31 décembre 2022). Autrement dit, le cache prend en charge tous les éléments que le serveur d’origine actualise à une fréquence supérieure à 150 ms. Le nombre de requêtes par seconde (RPS) est incroyablement faible pour ces données et permet le délestage d’un trafic volumineux à partir de du serveur d’origine. 

Le graphique ci-dessous représente le délestage (en %) d’une API spécifique ou d’un point de terminaison de requête de données de l’infrastructure au regard de la fréquence d’actualisation (de 200 ms à une fois par jour) par rapport au nombre de requêtes par seconde de ce point de terminaison. Vous constaterez que même les données actualisées toutes les 200 ms bénéficient d’un délestage exceptionnel (de 50 %) à seulement 10 RPS. La plupart des cellules sont représentées en vert, ce qui indique un délestage supérieur à 90 %. Un avantage incontestable qui permet de mettre en cache toutes les API. Les chiffres parlent d’eux-mêmes : avec Fastly, les clients bénéficient d’un retour sur investissement de 189 %. Ces économies sur les frais de sortie contribuent fortement à ce résultat.

Quelques calculs simples permettent de convertir ces informations en valeurs financières. Découvrez leur signification. Avec un taux de délestage de 90 % et des frais de sortie de 0,05 $ par Go, un volume de requêtes moyen de 1 Mo à 5 RPS suffit à économiser 120 000 $ par an. Appliquez ces chiffres à chaque API et à chaque composante d’infrastructure en charge des requêtes et imaginez le résultat. Force est de constater qu’un délestage d’origine augmenté de 10 à 15 % n’apparaît pas toujours comme un bond en avant. Pour autant, il s’accompagne d’économies substantielles et d’une rationalisation de l’infrastructure.

Par ailleurs, les plateformes modernes font exploser la productivité.

Au-delà des avantages financiers, l’amélioration de la productivité présente de nombreux avantages. Les avantages en termes de coûts et de délais de résolution sont d’autant plus manifestes que vous n’avez plus à attendre l’intervention des équipes de services professionnels. Fort d’une observabilité et de renseignements améliorés, de délais d’atténuation réduits et d’une réduction notable des efforts de personnalisation et de maintenance, vous êtes parfaitement armé pour vous atteler aux autres problèmes. Le recrutement des équipes de sécurité et des experts SecOps/DevSecOps n’est pas une mince affaire. Très sollicités, ces collaborateurs impliquent un coût plus élevé. L’adoption d’une plateforme permettant de résoudre les problèmes habituels tout en répondant rapidement aux questions restantes permet de stimuler la productivité et d’alléger la pression autour de ces équipes, mais aussi de réduire les cas de burn-out et de renforcer la rétention. 

Fastly propose un support client d’envergure internationale capable de résoudre rapidement les problèmes. Nous proposons également d’adopter notre service de sécurité gérée pour renforcer votre équipe de sécurité de façon économique, sans amputer le budget opérationnel. 

Pour en savoir plus sur Fastly et nos solutions pour le secteur financier, consultez notre page de solutions dédiées.