Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nouvel eBook CyberArk : « Gérer les secrets d’applications – Que veulent vraiment les développeurs ? »

février 2019 par CyberArk

Les méthodologies DevOps offrent sans aucun doute d’importants avantages stratégiques et concurrentiels. Mais, elles ne sont pas sans risque. Avec une capacité de livraison plus rapide et à grande échelle du code, la surface d’attaque peut croître de manière exponentielle, avec plus de secrets à gérer et à sécuriser.

En outre, bien que les équipes de sécurité définissent les règles de cyber-protection, ce sont les développeurs qui sont en première ligne pour coder, tester et créer les applications – et sécuriser les secrets. Pour en savoir plus sur la manière dont les développeurs gèrent la gestion des secrets dans les applications qu’ils développent pour les grandes entreprises, CyberArk a commandé une enquête indépendante sur les gestionnaires et les développeurs DevOps, dont les résultats sont présentés dans un eBook, « Gestion des secrets d’application – Que veulent vraiment les développeurs ? », dont voici les points clés :

La gestion des secrets intégrés ne suffit pas. Les organisations utilisent souvent à la fois Docker, Puppet, AWS, Kubernetes, Ansible et Azure ; or, tous ces outils et plateformes DevOps offrent des fonctionnalités de gestion des secrets intégrées, mais ne sont pas compatibles les uns avec les autres. Chacun de ces outils adopte en effet une approche différente en matière de sécurité et utilise une API différente, ce qui complique le travail du développeur. À mesure que les exigences changent et que de nouveaux outils sont introduits, les développeurs devront probablement relever le défi de l’intégration des outils, ainsi que de la gestion et du partage des secrets sur ces systèmes disparates. Les équipes tournées vers l’avenir reconnaissent l’importance de choisir un outil de gestion des secrets unifié, évolutif et, à long terme, qui les aide à étendre les capacités de gestion des secrets natifs, à tirer parti de plusieurs fournisseurs de cloud, ainsi qu’à prendre en charge la gestion des secrets dans des environnements hybrides.

La confusion autour de la notion de propriété abonde. Bien que les développeurs puissent jouer un rôle clé dans la sélection des plateformes de gestion des secrets, celles-ci sont souvent achetées par diverses équipes et à plusieurs niveaux de l’organisation, sans qu’aucun groupe ne soit « propriétaire » de la prise de décision et de la budgétisation. Cette approche aléatoire implique que plusieurs équipes se tournent vers différents outils et services ; cela crée des couches de complexité superflues et soulève la question de qui s’occupe de quoi. Et ce, tout en préparant le terrain pour les futurs problèmes de sécurité. Par exemple, selon un récent sondage de Puppet, les équipes de sécurité seraient moins impliquées dans la conception et le déploiement de technologies, que ne le pensent les dirigeants. L’étude CyberArk a également révélé que seules 41 % des équipes de sécurité et de DevOps sont impliquées tout au long du processus de développement d’applications. Par conséquent, les équipes développeurs, DevOps et sécurité doivent collaborer pour sélectionner la bonne solution de gestion des secrets et créer une méthode de gestion uniforme pouvant être implémentée à l’échelle de l’entreprise.

La normalisation est essentielle, mais les organisations se heurtent à des obstacles. La grande majorité des répondants (près de 80 %) ont indiqué qu’il était important, ou très important, de normaliser les outils de gestion des secrets. En outre, 60 % jugent important, ou très important, de disposer d’un fournisseur d’accès à privilèges, ou de gestion des identités, prenant également en charge la gestion des secrets pour leur pipeline DevOps et CI/CD. Cela indique que les personnes interrogées ont reconnu l’importance de la sécurisation systématique des informations d’identification, des applications et des autres utilisateurs ; ceci est important car ce sont les utilisateurs « humains » qui attribuent généralement un accès à privilèges à des utilisateurs « machines ». Toutefois, cette bonne pratique n’est pas la norme, puisque seulement 24 % des répondants ont déclaré utiliser actuellement un outil normalisé.

Il est donc clair que les personnes interrogées reconnaissent que les outils de gestion des secrets doivent être coordonnés et intégrés à des outils de gestion des accès à privilèges à l’échelle de l’entreprise. Alors, pourquoi les avoir si peu unifié ? Selon les recherches de CyberArk, les plus gros obstacles à la normalisation sont les contraintes budgétaires, les solutions de gestion des secrets en constante évolution, les équipes de sécurité qui ne comprennent pas suffisamment les DevOps, et les processus de décision fragmentés.

Cet eBook offre aux développeurs la perspective de la sécurisation des environnements DevOps et complète le rapport CISO View récemment publié, qui offre aux responsables de la sécurité le point de vue de la sécurisation des environnements DevOps. L’eBook présente quatre étapes immédiates et concrètes que les équipes de sécurité et de développement peuvent suivre pour sécuriser davantage les applications. Les versions CISO View et Managing Application Secrets sont toutes deux basées sur des recherches menées par des sociétés de recherche indépendantes et sont décorrélées du produit.

Pour en savoir plus sur les solutions de CyberArk pour la sécurisation des environnements DevOps, rendez-vous sur cyberark.com/devops, CyberArk propose la seule solution de gestion des secrets indépendante de la plateforme du secteur, spécialement conçue pour protéger les applications cloud natives et conteneurisées sur l’intégration et la livraison en continu (CI/CD). Conjur Open Source, une solution open source riche en fonctionnalités, offre un accès facile aux développeurs et est disponible en téléchargement sur le site conjur.org, de même que sur GitHub, AWS Marketplace et GCP.


Voir les articles précédents

    

Voir les articles suivants