Trois raisons pour lesquelles le DevOps va changer la donne dans le domaine de la sécurité
Selon de nombreuses sources, la révolution DevOps créerait beaucoup d'obstacles sur la voie de la cyber-sécurité. La principale raison : la grande absence à l'heure actuelle des équipes de sécurité lors des sprints DevOps. L'absence de ces équipes dans un domaine qui se vante de faire tomber les barrières et de faciliter la collaboration constitue un problème d'angle mort sur la Cyber Exposure qu'il faut essayer de résoudre. C'est là le rôle de la cyber-sécurité qui, continuellement, identifie et sécurise les assets et les applications après leur mise en production, comme un jeu du chat et de la souris sans fin...
Bonnes pratiques en matière de sécurité des conteneurs : guide pratique
Heureusement, il existe une solution. Elle implique d'élargir la portée du DevOps, c'est-à-dire d'encourager les équipes de cyber-sécurité à adopter les principes du DevOps dans leurs propres processus et workflows. Voici trois raisons pour lesquelles l'association de ces deux pratiques change la donne en matière de sécurité.
1) Sécurité intégrée
Les tests de sécurité doivent se trouver là où les développeurs se trouvent, c'est-à-dire dans le pipeline DevOps. Il est crucial d'adapter les processus de sécurité au développeur, et non l'inverse. Ainsi, la sécurité peut être pensée en amont, plutôt qu'après le développement, et les développeurs ne sont jamais amenés à négliger leurs systèmes d'intégration/déploiement continu(e) (CI/CD) pour effectuer des tests de contrôle qualité. Intégrer le critère de sécurité dans le DevOps est une excellente mesure en faveur de l'efficacité de la cyber-sécurité.
2) Automatisation
La cyber-sécurité doit adopter les tests et audits automatisés dès que possible. Les entreprises sortent des dizaines, voire des centaines, de mises à jour logicielles chaque jour. Ne s'appuyer que sur des processus manuels est un frein au bon fonctionnement de la sécurité. Les tests de sécurité doivent donc, à la place, être déclenchés automatiquement à chaque changement interne ou dès que de nouvelles vulnérabilités sont découvertes. La distribution logicielle en continu requiert des contrôles de sécurité constants.
3) Prévention proactive
Au vu des options, les responsables cyber-sécurité devraient plutôt passer du temps à mettre en place des programmes de sécurité de haute qualité pour garantir la conformité et améliorer la gestion du risque (au lieu de jouer au jeu du chat et de la souris). L'identification et la remédiation proactives des vulnérabilités durant le développement font économiser une grande quantité de temps et d'argent (plus de 85 % selon certaines estimations !), comparé à la remédiation en production. Le vieil adage « mieux vaut prévenir que guérir » prend tout son sens dans le domaine de la sécurité.
Si la réduction des coûts, l'élimination des angles morts et l'accélération du DevOps est l'un de vos objectifs en 2018, lisez le livre blanc IDG, 3 raisons pour lesquelles le DevOps va changer la donne dans le domaine de la sécurité. Vous y trouverez des mesures que vous pouvez prendre pour favoriser une approche collaborative et proactive afin de sécuriser votre entreprise et d'apporter une solution au problème d'angle mort sur la Cyber Exposure. La sécurité doit faciliter les opérations dans le domaine digital et non les entraver.
Articles connexes
- DevOps