Quelle place pour la sécurité dans la culture DevOps ?

DevOps
L’intégration de la sécurité dans les approches DevOps apparaît difficile. Une récente étude de Gartner indique que : si les entreprises adoptent une cette démarche pour gagner en agilité, tant les professionnels de la sécurité (77 %) que ceux des opérations informatiques (81 %) estiment que les équipes et politiques de sécurité ralentissent son efficacité. Pour autant, selon le cabinet, « les équipes DevOps comprennent que la sécurité et la conformité sont nécessaires ».

La culture DevOps est en pleine croissance. On la retrouve tant dans les startups que dans les grands groupes travaillant en mode projet. Elle combine dans un même poste le développement, les opérations informatiques, de sécurité et l’assurance qualité. Ce nouveau paradigme va entraîner un changement radical dans l’approche de la sécurité informatique.

Les DevOps sont en train de transformer le business des entreprises avec des cycles de production plus courts, une automatisation et une approche interfonctionnelle afin de toujours aller plus vite.

De plus en plus, les organisations adoptent ce nouveau modèle pour rationaliser le processus de développement en combinant plusieurs étapes en un seul processus automatisé – c’est l’essence même de cette approche. La principale évolution est que l’ensemble des équipes informatique doivent collaborer dès le début afin de réduire le temps de lancement d’un produit. Là où la sécurité était isolée et souvent placée à la fin d’un projet pour vérifier l’absence de risque avant la mise sur le marché, aujourd’hui l’approche DevOps va l’intégrer dès le début.

 

La sécurité n’est plus une option pour les DevOps

L’idée que la sécurité n’a pas sa place au sein de l’équipe DevOps est un contresens. Ils doivent contribuer à ce que la sécurité soit bien appliquée tout au long du développement des produits et projets. Cependant, les DevOps doivent prendre en compte le fait qu’ils ne peuvent pas être des experts sécurité. Les environnements sur lesquels ils travaillent sont en constante évolution. Chaque mois, plusieurs dizaines de nouveaux services et applications sont créés. Il faut être en mesure de les soutenir en leur mettant à disposition des solutions de sécurité qui vont les aider à contrôler le respect des bonnes pratiques de sécurité.

 

5 conseils sécurité pour une culture DevOps efficace

– Faciliter la communication entre les DevOps et l’équipe sécurité

Les DevOps sont une aubaine pour les équipes sécurité, qui peuvent mettre en place leur politique de sécurité dès le début du projet. Il faut définir la place de chacun pour être certain que le plan d’action sera suivi tout en s’appuyant sur des indicateurs pertinents. En fournissant des rapports complets  en amont, la tâche de l’équipe sécurité sera facilitée.

– Ne pas négliger l’importance des experts sécurité

La majorité des DevOps ne sont pas des experts en sécurité. Il serait inconscient de la part de l’entreprise de réduire son équipe sécurité sous le seul prétexte qu’elle embauche des DevOps. Surtout avec l’augmentation du nombre de vulnérabilités (plus de 28 nouvelles vulnérabilités détectées chaque jour en moyenne en 2016). Cette complémentarité est nécessaire pour que chacun puisse monter en compétences.

– Automatiser au maximum

Les DevOps plébiscitent les technologies du Cloud, des containers, du Big Data pour leurs besoins en automatisation et en flexibilité. Ils doivent intégrer une solution de surveillance continue pour pouvoir continuer à profiter des avantages de l’automatisation. Tout au long du projet, les DevOps et équipes de sécurité pourront analyser l’environnement de test pour corriger ses faiblesses.

– Mettre en place des solutions de sécurité adaptées

La rapidité des déploiements entraîne le risque de mauvaises configurations que les hackers vont exploiter. Les DevOps tout comme l’équipe sécurité doivent veiller à ce que les bonnes pratiques de sécurité soient appliquées. Ils doivent s’appuyer sur les standards du marché (CSA, ANSSI, CIS…) pour réduire leur niveau de risque au maximum.

– Communiquer avec le DSI

Les DevOps doivent être capable de fournir des indicateurs compréhensibles sur l’avancement de leurs projets mais aussi sur le niveau de sécurité des services qu’ils utilisent. Ils sont une part intégrante de l’entreprise et doivent être compris par la direction pour mener à bien leur mission

 

Découvrez une solution adaptée aux DevOps

Pour répondre aux besoins d’automatisation des DevOps ainsi que pour faciliter l’intervention des équipes sécurité nous avons développé Elastic Workload Protector. Déployable sur des environnements Cloud comme hydrides cette solution s’avère être parfaite pour suivre en continu le niveau de risque de l’environnement de test tout comme l’intégralité du parc informatique.

Elle permet :

– l’obtention d’un inventaire détaillé de votre parc informatique ;

– l’analyse automatiquement et en continu des configurations de vos actifs ;

– la prise en charge des environnements Cloud, Docker et Hadoop ;

– la vérification du respect des bonnes pratiques de sécurité ;

– le suivi du niveau d’exposition aux cyberattaques en temps réel.

Pas encore convaincu ? Testez la solution gratuitement pendant 14 jours et jugez par vous-même.

Leave a Reply