Trois raisons pour lesquelles le DevOps va changer la donne dans le domaine de la sécurité
par Nathan Dyer
Page d'accueil des blogs / Tenable Research
Selon de nombreuses sources, la révolution DevOps créerait beaucoup d'obstacles sur la voie de la cyber-sécurité. La principale raison : la grande absence à l'heure actuelle des équipes de sécurité lors des sprints DevOps. L'absence de ces équipes dans un domaine qui se vante de faire tomber les barrières et de faciliter la collaboration constitue un problème d'angle mort sur la Cyber Exposure qu'il faut essayer de résoudre. C'est là le rôle de la cyber-sécurité qui, continuellement, identifie et sécurise les assets et les applications après leur mise en production, comme un jeu du chat et de la souris sans fin...
Bonnes pratiques en matière de sécurité des conteneurs : guide pratique
Heureusement, il existe une solution. Elle implique d'élargir la portée du DevOps, c'est-à-dire d'encourager les équipes de cyber-sécurité à adopter les principes du DevOps dans leurs propres processus et workflows. Voici trois raisons pour lesquelles l'association de ces deux pratiques change la donne en matière de sécurité.
1) Sécurité intégrée
Les tests de sécurité doivent se trouver là où les développeurs se trouvent, c'est-à-dire dans le pipeline DevOps. Il est crucial d'adapter les processus de sécurité au développeur, et non l'inverse. Ainsi, la sécurité peut être pensée en amont, plutôt qu'après le développement, et les développeurs ne sont jamais amenés à négliger leurs systèmes d'intégration/déploiement continu(e) (CI/CD) pour effectuer des tests de contrôle qualité. Intégrer le critère de sécurité dans le DevOps est une excellente mesure en faveur de l'efficacité de la cyber-sécurité.
2) Automatisation
La cyber-sécurité doit adopter les tests et audits automatisés dès que possible. Les entreprises sortent des dizaines, voire des centaines, de mises à jour logicielles chaque jour. Ne s'appuyer que sur des processus manuels est un frein au bon fonctionnement de la sécurité. Les tests de sécurité doivent donc, à la place, être déclenchés automatiquement à chaque changement interne ou dès que de nouvelles vulnérabilités sont découvertes. La distribution logicielle en continu requiert des contrôles de sécurité constants.
3) Prévention proactive
Au vu des options, les responsables cyber-sécurité devraient plutôt passer du temps à mettre en place des programmes de sécurité de haute qualité pour garantir la conformité et améliorer la gestion du risque (au lieu de jouer au jeu du chat et de la souris). L'identification et la remédiation proactives des vulnérabilités durant le développement font économiser une grande quantité de temps et d'argent (plus de 85 % selon certaines estimations !), comparé à la remédiation en production. Le vieil adage « mieux vaut prévenir que guérir » prend tout son sens dans le domaine de la sécurité.
Si la réduction des coûts, l'élimination des angles morts et l'accélération du DevOps est l'un de vos objectifs en 2018, lisez le livre blanc IDG, 3 raisons pour lesquelles le DevOps va changer la donne dans le domaine de la sécurité. Vous y trouverez des mesures que vous pouvez prendre pour favoriser une approche collaborative et proactive afin de sécuriser votre entreprise et d'apporter une solution au problème d'angle mort sur la Cyber Exposure. La sécurité doit faciliter les opérations dans le domaine digital et non les entraver.
Articles connexes
AWS Access Analyzer Just Got Better, So Did Tenable Cloud Security
November 27, 2023AWS IAM Access Analyzer now has an API allowing you to make custom policy checks. Tenable Cloud Security allows you to easily use this API as part of its code scanning functionality. Find out how and ...
Cybersecurity Snapshot: CISOs Are Happier, but Dev Teams Still Lack Secure Coding Skills
January 20, 2023Learn all about the spike in CISO job satisfaction. Plus, NIST mulls major makeover of its Cybersecurity Framework. Also, the struggle to develop secure apps is real. Then check out how Uncle Sam plans to use AI and ML to boost cybersecurity. And much more!
What Happens When the Metaverse Enters Your Attack Surface?
December 12, 2022Tenable polled 1,500 cybersecurity, IT and DevOps professionals about their top concerns in the nascent virtual reality worlds of the metaverse. Here's what we found out.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- DevOps