Continuum est un nouveau service destiné à aider les développeurs et les équipes de sécurité à sécuriser leur propre code et celui des autres, dans le but d’automatiser la remédiation.
Les agents de codage d’IA facilitent plus que jamais la production de logiciels. S’assurer que le logiciel est sécurisé avant le déploiement est une autre question, pour laquelle AWS pense que l’IA devrait également aider.
À mesure que les entreprises adoptent des workflows de développement agent, le volume de code propriétaire créé et modifié augmente rapidement. Pourtant, le processus de validation des vulnérabilités, de détermination de leur exploitabilité et de leur correction dépend encore souvent du travail manuel des développeurs et des équipes de sécurité sur les résultats.
AWS vise à remédier à ce déséquilibre avec Continuum, un nouveau service conçu pour découvrir, enquêter et corriger en permanence les vulnérabilités dans les environnements d’entreprise, que le code soit le leur ou celui de tiers.
Plutôt que de simplement générer des alertes, le service est destiné à aider les entreprises à faire progresser les résultats tout au long du cycle de vie de la remédiation, a écrit Chet Kapoor, vice-président de la sécurité et de l’observabilité d’AWS, dans un article de blog.
Pour les applications propriétaires, Continuum peut analyser le code, valider si les vulnérabilités sont exploitables, générer des recommandations de correction et proposer des correctifs qui peuvent être examinés via les flux de développement de logiciels existants, aidant ainsi les développeurs à résoudre les problèmes de sécurité sans obliger les équipes de sécurité à enquêter manuellement sur chaque découverte, a déclaré Kapoor.
Une fois que les utilisateurs pensent que Continuum en a suffisamment appris sur leur environnement et comprend leurs garde-fous, ils peuvent le mettre dans ce qu’AWS appelle le « mode application » pour corriger de manière autonome toute erreur de code, a déclaré Kapoor.
Continuum emprunte certaines de ses capacités, tests d’intrusion et fonctionnalités d’analyse de code, à un service existant, Security Agent.
D’autres fonctionnalités sont toutes nouvelles, notamment la modélisation des menaces, conçue pour générer automatiquement des modèles de menaces à partir du code source ou des documents de conception et les générer au format STRIDE.
Suivre le rythme du développement de logiciels basés sur l’IA
Les analystes estiment que Continuum aide les équipes de développeurs d’entreprise à fournir un code plus sécurisé tout en suivant le rythme des outils de codage d’IA.
« Le problème le plus difficile n’est plus seulement de trouver les problèmes, il s’agit de savoir lesquels sont réels, lesquels sont importants dans leur environnement et lesquels doivent être résolus en premier », a déclaré Akshat Tyagi, chef de cabinet associé chez HFS Research. « Les flux de travail traditionnels construits autour de tableaux de bord et de tri manuel ont du mal à gérer ce volume. Un tableau de bord peut montrer l’arriéré, mais il ne valide pas les résultats, n’évalue pas l’impact commercial ou n’aide pas à y remédier. »
La valeur de Continuum, selon Tyagi, « n’est pas seulement davantage de détection, mais aussi l’utilisation de l’IA pour hiérarchiser les découvertes de risques, suggérer des mesures d’atténuation et prendre en charge une action plus rapide tout en gardant les humains sous contrôle des décisions à haut risque ».
Selon Amit Chandak, directeur analytique de la société de conseil informatique Kanerika, il est de plus en plus important d’agir plus rapidement à mesure que les attaquants ont accès à bon nombre des mêmes capacités d’IA que celles que les entreprises utilisent pour accélérer le développement de logiciels et les tests de sécurité. « L’écart entre une faille révélée et un exploit fonctionnel se réduit rapidement, passant de quelques mois à quelques heures », a-t-il déclaré.
Bien que Continuum puisse réduire le travail répétitif pour les développeurs et les SRE, il pourrait également créer de nouvelles responsabilités pour les RSSI en matière de gouvernance, de surveillance, de tests et de maintien de garde-fous pour les actions automatisées.
« Continuum modifie le rôle du RSSI de la gestion des résultats à la gestion de la façon dont les résultats sont traités. L’accent est désormais mis sur l’établissement de règles : ce qui peut être automatisé, ce qui nécessite l’approbation humaine et quel niveau de risque est acceptable en production », a déclaré Tyagi. « Le personnel va également changer. Il y aura peut-être moins de tri manuel, mais il faudra davantage de personnes capables d’examiner les correctifs générés par l’IA, de mettre en place des garde-fous et de savoir quand ne pas faire confiance au système. »
Malgré cela, Chandak ne s’attend pas à ce que l’offre entraîne des réductions d’effectifs immédiates, d’autant plus que Continuum n’est disponible qu’en avant-première.
Le continuum pourrait changer la façon dont les RSSI mesurent le travail, a déclaré Tyagi : « Le nombre de tickets importe moins. De meilleures mesures sont la rapidité avec laquelle les risques réels sont validés et corrigés, le nombre de faux positifs supprimés et la question de savoir si l’automatisation réduit les risques sans causer de nouveaux problèmes. »
Ces mêmes mesures pourraient également devenir un critère permettant aux RSSI de déterminer le degré d’autonomie à accorder à des outils comme Continuum, a déclaré Chandak. La plupart des données et des pratiques de gouvernance des entreprises ne sont pas encore prêtes pour une remédiation totalement autonome, a déclaré Chandak, ajoutant que « la conception de confiance graduée d’AWS, dans le cadre de laquelle les entreprises ont la possibilité de choisir le degré d’autonomie, depuis la prise en charge humaine jusqu’à la remédiation entièrement automatique, est un aveu de ce fait ».
Au-delà du code propriétaire
Continuum pourrait également aider les RSSI dans l’analyse de la vulnérabilité du code tiers, où les entreprises ont souvent moins de visibilité et de contrôle.
« La plupart des alertes de vulnérabilité tierces sont du bruit. Un outil peut signaler une bibliothèque vulnérable, mais la vraie question est de savoir si ce code vulnérable est réellement utilisé en production. Si Continuum peut répondre à cette question, cela aide les équipes à se concentrer sur les quelques problèmes importants », a déclaré Tyagi. « Cela est particulièrement utile pour les risques liés à l’open source et à la chaîne d’approvisionnement logicielle, où les entreprises dépendent de packages et de dépendances transitives cachées qu’elles ne peuvent pas suivre entièrement. Cela est également utile lorsqu’aucun correctif n’est encore disponible. »
Cependant, a-t-il prévenu, Continuum pourrait ne pas offrir de solution directe au code tiers : « Vous ne pouvez généralement pas corriger vous-même le code tiers car vous ne le possédez pas, donc la remédiation signifie épingler la version ou compenser les contrôles. »
