La complexité logicielle nuit à la sécurité du mainframe

Les entreprises ne peuvent tout simplement pas abandonner les mainframes.

Alors que l’infrastructure cloud occupe le devant de la scène, les systèmes mainframe continuent de dominer des segments majeurs de l’économie, en particulier ceux qui nécessitent des applications hautes performances et haute fiabilité, comme le traitement des transactions financières. Les systèmes mainframe gèrent une estimation 90% des transactions par carte de crédit, Par exemple. Selon une étude de Deloitte, 71 % des entreprises du Fortune 500 continuent de s'appuyer sur des mainframes, et 90% des cadres s'attendent à étendre leur empreinte mainframe.

La sécurisation des mainframes reste une priorité : 61 % des professionnels du mainframe et de l'informatique classent la sécurité comme le principal problème auquel ils sont confrontés, selon le rapport de BMC. enquête annuelle auprès des utilisateurs de mainframe pour 2023. Bien que le matériel mainframe soit régulièrement mis à jour, l'architecture logicielle comprend souvent un agglomérat de fonctionnalités et de composants supplémentaires difficiles à sécuriser, explique Jeff Emerson, responsable des services mainframe intégrés chez Accenture.

« Malgré les performances époustouflantes de nombreuses applications mainframe, elles sont de plus en plus fragiles en raison de décennies de modifications du code « il suffit d'ajouter ceci » qui entraînent une augmentation exponentielle de la complexité logicielle », explique Emerson. L’héritage des architectures logicielles d’il y a vingt ou trois décennies, ajoute-t-il, a également conduit les concepteurs « vers des structures de données hautement partagées sur une plate-forme unique et monolithique, qui est devenue incroyablement difficile à démonter ».

Les problèmes ne feront qu'empirer car, loin de s'éteindre, les systèmes mainframe continuent de fonctionner une grande partie de l'infrastructure qui sous-tend l'économie de l'information. Cela pose un défi au développement et à la sécurité des logiciels en raison de la nature monolithique des mainframes et de la rareté croissante de l’expertise technique mainframe.

La sécurité est la principale préoccupation des utilisateurs de mainframe

Dès les années 1950, l’architecture mainframe était synonyme d’informatique. Alors que de nombreux utilisateurs de mainframe recherchent des moyens de déplacer certaines charges de travail vers le cloud, la grande majorité des responsables commerciaux et informatiques (94 %) ont une vision positive de l'avenir des mainframes. Une part importante (62 %) prévoit que leur utilisation des mainframes augmentera avec les nouvelles charges de travail, selon le rapport BMC.

Le marché continue de croître. Systèmes IBM Z, la série GS de Fujitsu et les serveurs Libra d'Unisys sont les écosystèmes mainframe les plus populaires. Z Systems a enregistré à lui seul une croissance de 21 % de ses revenus d’une année sur l’autre en 2022, selon les états financiers d’IBM.

Cependant, une croissance durable ne peut se produire que si les utilisateurs de mainframe trouvent des moyens de rendre leur infrastructure plus facile à sécuriser et plus agile, déclare Linda Betz, RSSI par intérim et responsable du secteur des assurances au Centre de partage et d'analyse d'informations sur les services financiers (FS-ISAC). Les mainframes étant conçus pour durer, le portefeuille de logiciels connectés aux systèmes mainframe est souvent complexe et difficile à gérer.

« Il y a un aspect du type « si ce n'est pas cassé, ne le réparez pas » dans le débat sur la migration vers le cloud », dit-elle. « Les institutions financières qui utilisent des mainframes doivent peser le coût du remplacement de leur système mainframe actuel par autre chose, et elles peuvent ne pas y voir suffisamment d'avantages, ou bien elles peuvent le faire pour certaines fonctions et certains systèmes mais pas pour d'autres. »

Le système dispose d'une multitude de contrôles de sécurité, tels que l'authentification des utilisateurs et les contrôles d'accès, l'administration décentralisée de la sécurité, les contrôles d'accès discrétionnaires et obligatoires, la connexion au système de gestion des systèmes (SMF), le contrôle des ressources, ainsi que l'auditabilité et la responsabilité. à sécuriser, déclare Emerson d'Accenture.

« La plate-forme mainframe offre des fonctionnalités de sécurité, d'audit et de suivi presque prêtes à l'emploi, offrant ainsi de grandes garanties quant aux données qu'elle contient », déclare-t-il. « C'est à la fois une bénédiction et une malédiction, car la plate-forme mainframe est incroyablement robuste, mais les logiciels développés sur quatre, voire cinq décennies, sont de plus en plus complexes, et pourtant soumis à une demande toujours croissante de flexibilité et d'agilité pour répondre aux besoins commerciaux émergents. »

L'obscurité aide à certains égards, car les attaquants ne savent souvent pas comment accéder aux systèmes, même s'ils pourraient exécuter le défi des mesures de sécurité mises en place pour protéger les mainframes. Cependant, aucune entreprise ne devrait s'appuyer sur une approche de sécurité par l'obscurité, déclare Kevin Stoodley, directeur de la technologie chez IBM Z, la division mainframe de l'entreprise.

« Honnêtement, c'est la vieille philosophie, et quiconque s'appuie sur cela, je pense, se trouve sur la glace », dit Stoodley. « Avec les techniques modernes de défense en profondeur, telles que la segmentation des réseaux, même en cas de failles, ce qui est inévitable dans une organisation, les mainframes ne sont probablement pas le premier endroit où ils peuvent accéder. »

Mainframe, Cloud ou hybride

De nombreuses entreprises migrent les charges de travail de leurs systèmes mainframe vers l'infrastructure cloud. Au cours des cinq prochaines années, les deux tiers des banques (67 %) déplaceront au moins la moitié de leurs charges de travail mainframe vers le cloud, contre 31 % auparavant, selon un rapport Accenture 2022. Les obstacles à la migration sont cependant importants. Près de la moitié des sociétés financières s'inquiètent perturbation des affaires et la complexité de la gestion de leurs applications critiques lors de toute tentative d'abandon des mainframes.

De plus, même si les systèmes mainframe peuvent exécuter Linux et des applications écrites dans des langages modernes, de nombreuses applications sont écrites en COBOL, qui est plus sujet aux attaques par injection SQL susceptibles de compromettre les données sous-jacentes, selon Emerson d'Accenture.

« Nettoyer ce code ou mettre en place des protections appropriées au fur et à mesure de sa modernisation est primordial pour protéger les données critiques du monde », dit-il.

Alors que la plupart des entreprises envisagent de réorganiser leurs logiciels mainframe pour accroître l’agilité des développeurs et réduire les coûts, une sécurité améliorée constitue un autre avantage. Déménager dans un nuage hybride pourrait aider, déclare Cynthia Overby, directrice de la sécurité pour l'ingénierie des solutions clients chez Rocket Software.

« Les mainframes font tellement partie intégrante d'une organisation, hébergeant tellement de données critiques, que le processus de suppression et de remplacement complet prendrait trop de temps et d'argent », dit-elle. « C'est pour cette raison que nous constatons une augmentation de la demande en matière d'infrastructure cloud hybride, qui offre aux utilisateurs le meilleur des deux mondes. »

L'IA pourrait remplacer les experts du mainframe en voie de disparition

La modernisation de l’infrastructure mainframe vers des architectures plus sécurisées sera difficile sans les bonnes personnes. Les opérateurs et ingénieurs mainframe hautement spécialisés constituent un groupe démographique en voie de disparition rapide dans le monde du travail moderne, avec 90 % des chefs d'entreprise trouvant qu'il est modérément ou extrêmement difficile de trouver les bonnes personnes pour entretenir les mainframes, selon le rapport de Deloitte.

« Compte tenu notamment du manque de travailleurs qualifiés disponibles, trouver des personnes pour entretenir ces systèmes – ou pire, intervenir en cas de panne – pourrait devenir très coûteux », indique le rapport.

Étant donné que la pile technologique mainframe n'est pas souvent enseignée dans les écoles, les spécialistes doivent apprendre l'architecture et ses aléas sur le tas, et les équipes de sécurité doivent apprendre à les défendre par elles-mêmes. Ce problème est un problème que l'IA pourrait aider les entreprises à résoudre en mappant le code du mainframe vers des langages plus modernes, explique Betz de FS-ISAC.

« Avec la pénurie actuelle de talents en cybersécurité, les institutions ne disposent peut-être pas de la main-d’œuvre et de l’expertise nécessaires pour passer à une infrastructure différente », dit-elle. "Cependant, l'IA offre en réalité une opportunité de traduction entre les langages mainframe et les langages plus récents afin d'aider les jeunes ingénieurs à maintenir les mainframes."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/dr-tech/software-complexity-bedevils-mainframe-security