On Oz
Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure
06/10/2019

Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure

Si jadis les trois ne se parlaient pas vraiment, il est désormais indispensable d’associer la sécurité aux développeurs et aux exploitants de l’infrastructure pour assurer une maîtrise logicielle parfaite.

Au-delà de la sécurité et de la qualité du code, les gains en termes de rapidité de déploiement justifient le plus souvent les efforts de réorganisation nécessaires.

 

Les développeurs codent, les « ops » déploient et la sécurité contrôle enfin (parfois !). Bien que très classique dans le monde du développement d’applications en entreprise, ce triptyque montre désormais ses limites : la sécurité n’intervient que tardivement, ou est accusée de ralentir les processus de développement, et l’infrastructure ne réplique pas toujours exactement les conditions de développement ou les exigences de la sécurité, ce qui conduit à des allers-retours fréquents. Le DevSecOps vise à aligner ces trois pôles et à intégrer la sécurité au plus tôt dans les projets de développement. « Cela optimise le cycle du projet en anticipant l’aspect sécurité. L’on évite ainsi les trop longs cycles de développement. D’autant plus que la sécurité est un domaine où l’on se doit d’aller vite », résume Vincent Meysonnet, Responsable Technique Avant-Vente chez Bitdefender.

 

Et puis il y a l’aspect coût : « Historiquement, l’équation coût et ressources disponibles déterminaient en fonction de l’application et de sa criticité s’il fallait investir en termes de sécurité. On se rend compte aujourd’hui que toute application, même la plus anodine, est potentiellement vulnérable et peut se transformer en porte ouverte vers nos données sensibles », explique Arnaud Lemaire, Directeur technique chez F5. Le DevSecOps permet d’éviter de choisir en industrialisant les contrôles de sécurité, qui peuvent alors être appliqués automatiquement à l’ensemble des projets.

 

La mise en place d’un processus DevSecOps, cependant, peut être contraignante : « Le facteur le plus important n’est pas technologique, mais organisationnel. Les équipes Sécurité doivent travailler de façon plus proche avec les opérationnels pour déterminer les niveaux de sécurité par application, et déléguer la mise en place de celles-ci », détaille Arnaud Lemaire. Cela peut être compliqué à mettre en œuvre, car « cela demande de l’organisation et un changement du processus d’exécution au sein de l’entreprise », confirme Vincent Meysonnet. Et nous savons tous que l’humain a horreur du changement !

Nos autres billets d'humeur...
09/10/2019

Cybersécurité : l’heure de la concorde public-privé ?

La cybersécurité a pour particularité qu’elle ne fait pas grande distinction entre les besoins de protection des entreprises et ceux des intérêts vitaux de la Nation. Les uns on...

06/10/2019

Comptes à privilèges : l’incroyable oubli !

On pourrait imaginer que les comptes utilisateurs qui donnent accès aux systèmes les plus sensibles de l’entreprise sont les mieux protégés. Hélas, c’est loin d’être toujours le...

06/10/2019

Zero Trust : penser la sécurité autrement

Imaginé par Google, le modèle de sécurité Zero Trust prend le contre-pied des habitudes courantes : le réseau « privé » n’existe plus, et tout est accessible de partout. De quoi...

06/10/2019

Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC

Face à l’augmentation du nombre d’incidents à traiter et à la difficulté à recruter des profils experts en nombre suffisant, les SOC doivent se tourner vers d’autres stratégies...

06/10/2019

Office 365 : nouvelle cible préférée des pirates ?

De tout temps, les criminels ont suivi les évolutions de leurs victimes. Aujourd’hui, alors que les entreprises migrent massivement vers le Cloud public en général et vers l’off...

06/10/2019

L’espionnage : un risque à prendre à compte pour les entreprises

Alors que les attaques par rançongiciel ou les escroqueries purement financières font la Une de l’actualité, le risque d’espionnage, par nature moins visible, a parfois du mal à...

06/10/2019

Attaques ciblées : quand les cybercriminels se professionnalisent

La montée en gamme des attaquants se traduit par des attaques plus ciblées, plus discrètes, motivées par un gain financier et conduites par des attaquants de très bon niveau.

06/10/2019

Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer

L’attaquant doit mener toute une série d’actions pour conduire son opération. Un équipementier de défense américain, Lockheed Martin, a modélisé cette séquence afin de mieux com...