Actu
Le nouveau rapport KuppingerCole souligne le besoin de sécuriser les environnements IT agiles et DevOps
novembre 2018 par Marc Jacob
KuppingerCole vient de publier un nouveau rapport, Sécurité pour environnements agiles et DevOps : prévention des attaques dans les environnements très dynamiques, qui aborde les sujets clés pour une sécurité améliorée dans les environnements DevOps, dont les raisons des vulnérabilités ainsi que les outils disponibles pour y remédier.
Une surface d’attaque étendue
L’adoption croissante des technologies DevOps et des réseaux informatiques agiles fait en effet de la sécurisation de ces environnements une priorité majeure. Ces dernières années, les DevOps ont changé le fonctionnement de l’informatique ; en outre, pour les professionnels de la sécurité, l’utilisation accrue des micro-services, ainsi que le nombre croissant d’outils DevOps utilisés dans le pipeline CI/CD (continuous integration / continuous deployment), ont accru la surface d’attaque, et ce pour quatre raisons : davantage de secrets et d’éléments à gérer, une volatilité accrue, ainsi qu’un réseau plus grand.
Afin de sécuriser les environnements DevOps, une organisation doit être à même de gérer systématiquement tous les types de secrets, d’éviter les îlots de sécurité et les dépendances à des fonctionnalités liées à des outils, de se concentrer sur la facilité d’utilisation pour les développeurs, et enfin, de déployer une gestion des accès à privilèges dans l’infrastructure. Les solutions actuellement en place au sein des organisations ne sont ainsi pas suffisantes pour sécuriser les environnements agiles et DevOps. Des outils de sécurité spécifiques sont en effet nécessaires, en plus de ceux qui se concentrent sur les accès à privilèges. Cependant, plutôt que de déployer deux systèmes séparés, une forme de solution intégrée est possible.
La sécurisation des secrets
Le rapport KuppingerCole aborde la sécurisation des secrets et des informations d’identification dans les environnements DevOps et agiles, en soulignant la nécessité de faciliter la sécurisation des applications et du code par les développeurs. Il faut, de plus, isoler les API afin que les services de sécurité puissent être actualisés et modifiés sans altération du code ; ainsi que fournir une vision intégrée et la capacité de manager les privilèges et les secrets. Enfin, il est conseillé de surveiller étroitement les activités en s’appuyant sur le SIEM (Security Information and Event Management, une vision holistique de la cybersécurité) et sur d’autres systèmes de sécurité.
