Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DevSecOps : rempart ultime contre les cyber menaces ?

septembre 2018 par Gerald Beuchelt, Chief Information Security Officer de LogMeIn

1. Pourquoi le DevOps doit-il évoluer en DevSecOps ?
L’évolution du DevOps vers le DevSecOps est nécessaire pour une démarche plus globale dans la conception des solutions. Le DevOps était à la base un bon moyen pour rendre les entreprises plus flexibles et donc renforcer leur compétitivité. En somme, le DevOps se base sur l’évolutivité du Cloud computing qui s’impose de plus en plus dans les entreprises.

Les hackers le savent et connaissent très bien le fonctionnement des solutions utilisées par les salariés. Ils peuvent dès la mise en route d’une solution identifier des failles et devenir des menaces pour les entreprises sans mêmes que ces sociétés ne soient au courant. C’est la raison pour laquelle le DevSecOps doit dès à présent s’imposer sur le DevOps.

2. Pourquoi l’intégration de la sécurité dès la conception est-elle nécessaire ?
Elle est nécessaire pour éviter aux équipes de sécurité d’intervenir après qu’une solution soit déjà conçue et opérationnelle. CA Veracode a récemment mis en lumière le fait que 77% des applications présentent au moins une faille de sécurité dès la première analyse. C’est un constat alarmant, surtout que les hackers vont bien plus loin qu’une seule analyse et qu’ils se spécialisent sur les failles de sécurité pour piéger les entreprises, récupérer des données voire même pire. En intégrant la sécurité dès la conception d’une solution ou d’une application, il sera possible d’éviter certaines attaques et intrusions qui causent bien des dégâts. On peut également estimer que les équipes de sécurité perdraient moins de temps si elles étaient intégrées dès le départ dans le développement. Elles pourraient s’atteler à de plus lourds problèmes alors que les problèmes les plus simples seraient en grande partie évités, et éviteraient aux équipes de sécurité de résoudre des problèmes manuellement et façon répétée. Il en est de même pour les équipes de développement. Elles pourraient aussi améliorer la conception des solutions car elles seraient moins concentrées sur les failles qui perturbent constamment les solutions existantes.

3. Comment le « security by design » peut-il s’imposer auprès des équipes de développement ?
C’est la question la plus épineuse du DevSecOps. Les équipes de sécurité n’interviennent qu’après la conception. Parfois, elles ne sont intégrées au processus qu’une fois les solutions en utilisation. Elles peuvent alors être sollicités pour fournir des patchs aux solutions ou des mises à jour renforçant une ou plusieurs fonctionnalités, mais c’est tout.
Le souci réside surtout dans la conception même de ces métiers. Les équipes sont à juste niveau toutes pragmatiques, mais selon leurs champs d’intervention. La crainte principale est que les équipes de sécurité bloqueraient bien des initiatives des équipes de développement pour des contraintes de sécurité, ce qui aurait pour effet d’instituer des tensions pendant la conception des solutions. Néanmoins, c’est bien toute une culture qui est à refaire s’il on veut que le DevSecOps soit un jour opérationnel. Il faut réinventer la conception des solutions et la culture des métiers qui en sont à l’origine. Le DSI peut servir à créer des ponts et un langage commun pour unifier ces métiers. Il est le lien entre les équipes de sécurité, la conception et l’exploitation. La manœuvre à mettre en place serait dès le départ d’annoncer quels sont les besoins en sécurité pour ensuite bâtir des solutions qui partent de ces prérequis fondamentaux qui n’existent pas pour le moment.

4. Quels sont les différences qui semblent opposer les équipes de sécurités à celles des développeurs et administrateurs systèmes ?
La culture du DevOps qui unie les développeurs et administrateurs systèmes s’oriente sur les questions de services et une approche agile dans la conception. Les solutions et applications sont créées via des codes, avec l’élément sécurité n’étant que rarement évoqué. Dans une approche DevOps, la sécurité intervient après la fin de la création. Avec le DevSecOps et donc avec une culture de la sécurité intégrée au commencement, la sécurité est un socle tout aussi important que la fluidité du fonctionnement d’une solution ou application. Des changements sont possibles si deux visions sont réellement confrontées. Par exemple, lorsqu’un code est écrit, les développeurs doivent pouvoir demander aux équipes de sécurité de vérifier si des vulnérabilités sont décelées. Plus concrètement, l’implantation d’une culture DevSecOps peut sembler restreignant pour certains, mais elle permettra de faire gagner énormément de temps à toutes les équipes.

5. La promesse du DevSecOps est-elle tenable : est-ce que cela freinera réellement les menaces de sécurité de plus en plus fortes ?
Nous avons la preuve que la démarche DevOps est déjà dépassée. Les menaces sont de plus en plus fortes et pérennes. Le temps des virus est révolu. De vraies équipes très bien formées sont à l’origine d’attaques et sont connus tous les noms de WannaCry, CyberVor ou encore Peace. Ils s’organisent et volent des données à une échelle industrielle. Nous ne pouvons plus dire aux entreprises qu’il suffit d’avoir un antivirus et un pare-feu pour être protégés car cela est faux. Bien sûr, le DevSecOps n’est pas la solution miracle pour enrayer toutes les menaces de sécurité, mais elle permettra d’ajouter une couche supplémentaire de sécurité, pour que d’autres moyens se mettent en place pour lutter efficacement contre les cyber menaces qui ne vont que s’accroitre dans le futur.

6. Le DevSecOps est-il suffisant pour renforcer la sécurité ?
Le DevSecOps sera très utile une fois qu’il sera réellement mis en place. Cependant, il sert à s’intégrer dans la chaine de défense des cyber attaques, et non à résoudre tous les problèmes qui existent actuellement. Cependant, le DevSecOps n’est pas inutile. Encore une fois, il faut multiplier les outils de défense, les hackers continuent de leur côté à se développer pour passer dans les mailles des filets. C’est à nous d’affronter ces batailles en étant véritablement bien armés.

7. La formation des personnes internes à l’entreprise aux meilleurs gestes de sécurité n’est-elle pas également un point fondamental de la chaine de sécurité ?
Oui la formation des équipes opérationnelles est à intégrer dans une plus grande vision de la sécurité des entreprises, au même titre que le DevSecOps. C’est aux entreprises de responsabiliser leurs salariés et de les informer et leur offrir des formations adéquates. Les attaques sont si perfides de nos jours qu’il faut redoubler de vigilance. Un utilisateur non informé a deux fois plus de chance à faire entrer une menace à l’intérieur de son entreprise. Les hackers le savent, c’est d’ailleurs par ce moyen qu’ils arrivent à pénétrer les réseaux des entreprises. Autant en être conscient et faire en sorte que cela ne soit pas une fatalité.




Voir les articles précédents

    

Voir les articles suivants