Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CyberArk : Vos secrets sont-ils bien gardés ? Les équipes DevOps et sécurité doivent collaborer pour réduire les risques de cyberattaques

novembre 2017 par CyberArk

CyberArk dévoile les premiers résultats de son rapport Advanced Threat Landscape 2018, qui indiquent que les professionnels de la sécurité et des DevOps manquent cruellement de visibilité au niveau de leur infrastructure IT, et ignorent notamment où sont stockés les comptes à privilèges (ou comptes à hauts pouvoirs) ainsi que les secrets de leur organisation. Lorsqu’ils sont confrontés à plusieurs options, allant des PC / ordinateurs portables aux micro-services, solutions de Containerisation et environnements cloud, presque tous les professionnels interrogés (99 %) sont incapables d’identifier au moins un emplacement comportant des secrets ou des comptes à privilèges.

C’est au niveau des répertoires de codes source, comme par exemple GitHub, que le manque de visibilité est le plus flagrant, avec 93 % des participants qui ignorent totalement que ces répertoires contiennent des accès aux environnements cloud, 89 % des comptes à privilèges ou des secrets, suivis par les micro-services (81 %), et les outils CI/CD (intégration et fourniture continues) utilisés par les équipes DevOps (78 %). Pourtant, toutes ces entités renferment bel et bien des comptes à hauts pouvoirs et des secrets propres à l’organisation.

Aucune stratégie de sécurisation des comptes à privilèges au niveau des DevOps

En marge de ce manque de visibilité, 79 % des français interrogés avouent qu’ils ne disposent d’aucune stratégie de sécurisation des comptes à hauts pouvoirs pour les environnements DevOps, malgré les prédictions de Gartner qui annonçaient que 50 % des entreprises utiliseraient les DevOps d’ici la fin de l’année 2016*. Toutes ces organisations offrent ainsi aux cyberpirates des points de vulnérabilités très faciles à cibler.

« Lorsqu’une organisation intègre des processus DevOps, un grand nombre de secrets et d’identifiants liés à des comptes à privilèges sont créés et partagés via des écosystèmes professionnels interconnectés, déclare Elizabeth Lawler, vice-president, DevOps security, chez CyberArk. Même si des technologies adaptées existent, si cette organisation néglige la gestion et la sécurité de ses secrets, elle devient une cible de choix pour les cyberattaques. Si une personne malveillante, qu’elle soit interne ou externe à l’organisation, parvient à se procurer des identifiants ou des secrets, elle peut prendre le contrôle total de toute son infrastructure IT. Il est donc inquiétant de constater que la ruée vers les avantages IT et commerciaux des DevOps s’accompagne d’une perte de contrôle et de visibilité, ainsi que d’un accroissement de la surface d’attaque. »

Des équipes morcelées qui font face à une sécurité fragmentée
Tandis que de nombreuses équipes DevOps sous-estiment le volume de secrets répartis dans leur infrastructure IT, elles ont toutefois conscience de la nécessité de renforcer la sécurité. Plus d’un tiers (37 %) des professionnels DevOps déclarent que le piratage de leurs outils et environnements est l’une des principales faiblesses de sécurité de leur organisation, mais bon nombre d’entre eux agissent seuls pour remédier au problème.

21 % des équipes de sécurité françaises indiquent qu’elles disposent d’une stratégie de sécurité des comptes à hauts pouvoirs pour les DevOps, mais l’intégration entre équipes reste un problème pour plus de deux tiers des interrogés français (70 %), c’est pourquoi de nombreux professionnels DevOps ont décidé de prendre le problème en main. En effet, près d’un cinquième des participants français (17 %) ont élaboré leur propre solution de sécurité afin de protéger et de gérer les secrets inhérents aux projets DevOps.

Elizabeth Lawler poursuit : « Créer ses propres solutions de sécurité est une initiative acceptable jusqu’à un certain point, car leur flexibilité aura inévitablement des limites. De Jenkins à Puppet, sans oublier Chef, il n’y a pas de norme commune entre les différents outils, ce qui signifie que vous devez analyser chaque outil afin de savoir comment le sécuriser. Les DevOps ont vraiment besoin de leur propre arsenal de sécurité, mais ils ne peuvent y parvenir sans l’aide des équipes de sécurité. Ces dernières offriront une approche systématisée qui aidera les DevOps à maintenir la sécurité tout en renforçant la productivité et en accélérant la disponibilité des applications. »

Une mauvaise stratégie de sécurité ne fait que renforcer les risques
Les entreprises ont de plus en plus recours à l’orchestration et aux outils d’automatisation pour mener des initiatives DevOps et Cloud, et plus de la moitié (56 %) des français interrogés indiquent qu’ils utilisent le cloud à des fins de développement interne.

Toutefois, l’étude révèle que le manque de stratégie de sécurité DevOps s’étend également au cloud. En France, 81 % des organisations font confiance au système de sécurité proposé par leur fournisseur de cloud, ce qui signifie que la sécurité des comptes à privilèges n’est pas pleinement intégrée aux processus DevOps lors du déploiement de nouveaux environnements.

Pour Elizabeth Lawler, « Tous points confondus, les résultats de l’enquête conduite cette année indiquent que de nombreuses organisations ne saisissent pas la nécessité - ou les mécanismes - de sécuriser les secrets et les identifiants liés aux comptes à hauts pouvoirs, que ce soit dans le cloud ou au niveau de chaque appareil. Les outils et pratiques inhérents aux DevOps et à la sécurité doivent absolument fusionner afin de protéger efficacement les informations privilégiées. Renforcer la visibilité et la collaboration des équipes de sécurité et de DevOps est une priorité absolue, qui aidera les entreprises à déployer une plateforme de sécurité évolutive et capable de prendre en charge les optimisations qui sont développées, testées et commercialisées. »


* Source : https://www.gartner.com/events-na/applications/wp-content/uploads/sites/2/2017/07/predicts_2017_application_de_316983.pdf


Voir les articles précédents

    

Voir les articles suivants