samedi 8 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité DevSecOps : Rempart ultime contre les cyber-menaces ?

DevSecOps : Rempart ultime contre les cyber-menaces ?

DevSecOps  – Expertise par Gerald Beuchelt, Chief Information Security Officer de LogMeIn.

Les cyberattaques et les menaces informatiques pullulent de plus en plus. En 2017, le ransomware WannaCry a par exemple fait de véritables dégâts à travers le monde et continue encore à causer bien des soucis à des entreprises de tous secteurs et de toutes tailles.  Et bien que des initiatives soient prises par les dirigeants des sociétés qui demandent à leurs équipes informatiques et leurs salariés d’être vigilants, force est de constater que la simple prévention ne suffit plus. Le problème se trouve directement à la source. Récemment, CA Veracode a révélé via une étude que 77% des applications présentent au moins une faille dès la première analyse. Ce constat est alarmant, surtout s’il on considère que les groupes de hackers vont bien plus loin qu’une analyse pour attaquer les entreprises via les applications et solutions.

Depuis plusieurs années, une « tendance » semble faire son chemin : passer du Devops au DevSecOps. En somme, allier les équipes de sécurité à celles des développeurs et administrateurs systèmes qui collaborent déjà ensemble à la conception des solutions et programmes. Sur le papier, l’idée semble idéale, mais en réalité, un problème plus profond se pose, celui de la culture de ces mêmes métiers. Dès lors, comment arriver à établir une culture DevSecOps optimale et ainsi enclencher de nouveaux leviers pour améliorer la sécurité et adopter une véritable vision « security by design » (en français : l’intégration de la sécurité dès la phase de conception) ?

Gerald Beuchelt, Chief Information Security Officer chez LogMeIn répond aux questions.

1. Pourquoi le DevOps doit-il évoluer en DevSecOps ?

L’évolution du DevOps vers le DevSecOps est nécessaire pour une démarche plus globale
dans la conception des solutions. Le DevOps était à la base un bon moyen pour rendre les
entreprises plus flexibles et donc renforcer leur compétitivité. En somme, le DevOps se base sur l’évolutivité du Cloud computing qui s’impose de plus en plus dans les entreprises. Les hackers le savent et connaissent très bien le fonctionnement des solutions utilisées par les salariés. Ils peuvent dès la mise en route d’une solution identifier des failles et devenir des menaces pour les entreprises sans mêmes que ces sociétés ne soient au courant. C’est la raison pour laquelle le DevSecOps doit dès à présent s’imposer sur le DevOps.

2. Pourquoi l’intégration de la sécurité dès la conception est-elle nécessaire ?

Elle est nécessaire pour éviter aux équipes de sécurité d’intervenir après qu’une solution soit déjà conçue et opérationnelle. CA Veracode a récemment mis en lumière le fait que 77% des applications présentent au moins une faille de sécurité dès la première analyse. C’est un constat alarmant, surtout que les hackers vont bien plus loin qu’une seule analyse et qu’ils se spécialisent sur les failles de sécurité pour piéger les entreprises, récupérer des données voire même pire.

En intégrant la sécurité dès la conception d’une solution ou d’une application, il sera possible d’éviter certaines attaques et intrusions qui causent bien des dégâts. On peut également estimer que les équipes de sécurité perdraient moins de temps si elles étaient intégrées dès le départ dans le développement. Elles pourraient s’atteler à de plus lourds problèmes alors que les problèmes les plus simples seraient en grande partie évités, et éviteraient aux équipes de sécurité de résoudre des problèmes manuellement et façon répétée. Il en est de même pour les équipes de développement. Elles pourraient aussi améliorer la conception des solutions car elles seraient moins concentrées sur les failles qui perturbent constamment les solutions existantes.

3. Comment le « security by design » peut-il s’imposer auprès des équipes de développement ?

C’est la question la plus épineuse du DevSecOps. Les équipes de sécurité n’interviennent
qu’après la conception. Parfois, elles ne sont intégrées au processus qu’une fois les solutions en utilisation. Elles peuvent alors être sollicités pour fournir des patchs aux solutions ou des mises à jour renforçant une ou plusieurs fonctionnalités, mais c’est tout.
Le souci réside surtout dans la conception même de ces métiers. Les équipes sont à juste niveau toutes pragmatiques, mais selon leurs champs d’intervention. La crainte principale est que les équipes de sécurité bloqueraient bien des initiatives des équipes de développement pour des contraintes de sécurité, ce qui aurait pour effet d’instituer des tensions pendant la conception des solutions.

Néanmoins, c’est bien toute une culture qui est à refaire s’il on veut que le DevSecOps soit un jour opérationnel. Il faut réinventer la conception des solutions et la culture des métiers qui en sont à l’origine. Le DSI peut servir à créer des ponts et un langage commun pour unifier ces métiers. Il est le lien entre les équipes de sécurité, la conception et l’exploitation.

La manœuvre à mettre en place serait dès le départ d’annoncer quels sont les besoins en sécurité pour ensuite bâtir des solutions qui partent de ces prérequis fondamentaux qui n’existent pas pour le moment.

4. Quels sont les différences qui semblent opposer les équipes de sécurités à celles des développeurs et administrateurs systèmes ?

La culture du DevOps qui unie les développeurs et administrateurs systèmes s’oriente sur les questions de services et une approche agile dans la conception. Les solutions et applications sont créées via des codes, avec l’élément sécurité n’étant que rarement évoqué. Dans une approche DevOps, la sécurité intervient après la fin de la création. Avec le DevSecOps et donc avec une culture de la sécurité intégrée au commencement, la sécurité est un socle tout aussi important que la fluidité du fonctionnement d’une solution ou application. Des changements sont possibles si deux visions sont réellement confrontées. Par exemple, lorsqu’un code est écrit, les développeurs doivent pouvoir demander aux équipes de sécurité de vérifier si des vulnérabilités sont décelées. Plus concrètement, l’implantation d’une culture DevSecOps peut sembler restreignant pour certains, mais elle permettra de faire gagner énormément de temps à toutes les équipes.

5. La promesse du DevSecOps est-elle tenable : est-ce que cela freinera réellement les
menaces de sécurité de plus en plus fortes ?

Nous avons la preuve que la démarche DevOps est déjà dépassée. Les menaces sont de plus en plus fortes et pérennes. Le temps des virus est révolu. De vraies équipes très bien formées sont à l’origine d’attaques et sont connus tous les noms de WannaCry, CyberVor ou encore Peace. Ils s’organisent et volent des données à une échelle industrielle. Nous ne pouvons plus dire aux entreprises qu’il suffit d’avoir un antivirus et un pare-feu pour être protégés car cela est faux. Bien sûr, le DevSecOps n’est pas la solution miracle pour enrayer toutes les menaces de sécurité, mais elle permettra d’ajouter une couche supplémentaire de sécurité, pour que d’autres moyens se mettent en place pour lutter efficacement contre les cyber menaces qui ne vont que s’accroitre dans le futur.

6. Le DevSecOps est-il suffisant pour renforcer la sécurité ?

Le DevSecOps sera très utile une fois qu’il sera réellement mis en place. Cependant, il sert à s’intégrer dans la chaîne de défense des cyber attaques, et non à résoudre tous les
problèmes qui existent actuellement. Cependant, le DevSecOps n’est pas inutile. Encore une fois, il faut multiplier les outils de défense, les hackers continuent de leur côté à se
développer pour passer dans les mailles des filets. C’est à nous d’affronter ces batailles en étant véritablement bien armés.

7. La formation des personnes internes à l’entreprise aux meilleurs gestes de sécurité n’est-elle pas également un point fondamental de la chaîne de sécurité ?

Oui la formation des équipes opérationnelles est à intégrer dans une plus grande vision de la sécurité des entreprises, au même titre que le DevSecOps. C’est aux entreprises de responsabiliser leurs salariés et de les informer et leur offrir des formations adéquates. Les attaques sont si perfides de nos jours qu’il faut redoubler de vigilance. Un utilisateur non informé a deux fois plus de chance à faire entrer une menace à l’intérieur de son entreprise. Les hackers le savent, c’est d’ailleurs par ce moyen qu’ils arrivent à pénétrer les réseaux des entreprises. Autant en être conscient et faire en sorte que cela ne soit pas une fatalité.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.