De DevOps à DevSecOps : les défis liés à l’intégration de la cybersécurité dans le DevOps

Tribune : La sécurisation des applications et des plates-formes via le cloud est l’une des principales préoccupations des entreprises. Bien que cela rende le DevSecOps primordial, les entreprises sont souvent confrontées à plusieurs défis de “make it or break it” affirme Prashanth Nanjundappa, de Progress.

La crise du COVID-19 a poussé les entreprises à accélérer leur processus de transformation numérique. Dès avril 2020, Satya Nadella a expliqué que son entreprise, Microsoft, avait connu deux ans de transformation numérique en seulement deux mois. Le passage au cloud a aidé les entreprises à rendre leurs opérations plus collaboratives et flexibles, à améliorer l’évolutivité et à renforcer la résilience de l’entreprise.

Forrester Research estime que le marché mondial du cloud public devrait augmenter de 35% pour atteindre 120 milliards de dollars en 2021. Et de plus en plus d’entreprises élaborent des stratégies pour gérer au mieux cette nouvelle normalité. Cependant, tout n’est pas fluide. Le rapport Flexera State of the Cloud Report 2020 révèle que les stratégies cloud d’entreprise actuelles sont complexes et dynamiques. Les dépenses cloud continuent d’augmenter à mesure que les entreprises adoptent une stratégie multi-cloud et mettent davantage de données dans le cloud.

Par conséquent, la sécurisation des applications et des plates-formes via le cloud est l’une des principales préoccupations des entreprises. Ceci est notamment repris dans le IDG State of the CIO survey concernant la situation des DSI. Selon cette étude les DSI continuent de concentrer leur temps et leur expertise sur la gestion de la sécurité. En 2020, 57% déclarent être de plus en plus préoccupés par la cybersécurité en raison des conditions socio-économiques. Bien que cela rende le DevSecOps primordial, les entreprises sont souvent confrontées à plusieurs défis de “make it or break it”  lorsqu’il s’agit de mettre en place une stratégie DevSecOps réussie.

La sécurité reste une réflexion trop tardive

Le premier défi est que dans la plupart des cycles de développement de logiciels, la sécurité intervient très tard : généralement, lorsque le produit est mis en production ou prêt à être déployé sur le marché. À ce stade, revenir en arrière pour résoudre les problèmes est long et coûteux. L’approche traditionnelle des tests de sécurité ne peut pas être intégrée dans ce nouveau cycle de vie.

Alors que les équipes DevOps mettent l’accent sur la vitesse et l’accélération de la mise sur le marché pour rester compétitives, les équipes de sécurité ont besoin de temps pour exécuter des tests et découvrir les vulnérabilités. Ce conflit entre vitesse et sécurité peut être difficile et doit être résolu, notamment si les stratégies de cloud computing doivent être largement mises en œuvre. Nous devons considérer la conformité et la sécurité comme des éléments essentiels. Les équipes doivent évaluer et utiliser des outils et des applications qui tiennent compte de la sécurité en tant que modèle de base.

Les audits périodiques ne disent pas tout

Dans l’approche traditionnelle, les tests de sécurité ont généralement lieu après le test de développement et de mise sur le marché. Ces audits ont lieu une fois tous les trois à six mois pour identifier les problèmes à résoudre et générer des rapports. Bien qu’il s’agisse d’une bonne pratique, elle n’est pas totalement efficace et c’est en cela que réside le défi. Cette approche suppose que le niveau de conformité est stable et que ces contrôles périodiques suffisent à valider le niveau de conformité constant.

En réalité, nous ne connaissons le niveau réel de conformité que lorsque nous le testons. Cela laisse des portes ouvertes aux cyberrisques dans les laps de temps entre chaque audit périodique où le produit est sensible aux cyberattaques. En outre, cela rend également l’entreprise très vulnérable. Le DevSecOps peut aider les entreprises à atténuer ce défi. Nous devons passer de la méthode traditionnelle à un modèle de conformité continue. Dans cette approche, des tests de conformité sont effectués à chaque étape.

Les barrières linguistiques entravent l’efficacité

Et enfin, nous regardons la communication. Il y a trois équipes différentes en charge de la sécurisation des systèmes, chacune avec ses propres perspectives et outils. L’équipe de conformité respecte les réglementations, tandis que l’équipe de sécurité utilise des outils d’analyse pour valider les choses. L’équipe DevOps résout ensuite les problèmes.

Cependant, comme les différentes équipes utilisent des langues différentes, cela augmente le temps de résolution d’un problème et le rend coûteux à corriger car les messages doivent passer par plusieurs personnes. Tout le monde dans l’entreprise doit avoir un langage et un ensemble d’outils communs. Cela garantira que la sécurité et la conformité peuvent être codifiées et automatisées, nous donnant une conformité en tant que modèle de code. Cela rend le processus plus simple, plus cohérent et plus direct. Cela signifie en fin de compte que si vous évaluez constamment, vous êtes toujours en conformité. Cela aide également les équipes à savoir quand elles ne sont pas conformes, et il n’y a pas de surprises.

Déployer une stratégie DevSecOps réussie

Si 2020 a été l’année où les entreprises ont testé la transformation numérique et le cloud computing, 2021 est l’année où les entreprises ont tout misé dessus. Alors que de plus en plus d’entreprises se tournent vers le cloud, la sécurité est une préoccupation légitime. Nous avons vu comment l’intégration réussie des pratiques de sécurité à chaque étape du développement aide les entreprises à résoudre les problèmes de sécurité dès le début et améliore la conformité. En tant que tel, l’adoption de DevSecOps est quelque chose qu’aucune entreprise ne peut ignorer.

Cela nécessite non seulement un changement dans les outils et les processus utilisés, mais aussi un changement de l’état d’esprit et de la culture du travail. Les équipes qui travaillaient en silos devront désormais intégrer les opérations et collaborer en temps réel. Les entreprises qui prévoient de déployer leur approche DevSecOps auront besoin d’une approche holistique qui examine les outils, les processus et les équipes. Alors que les chefs d’entreprise planifient leur plan de relance post-pandémie et mettent en place les bases de leurs opérations pour les prochaines années, la stratégie DevSecOps aidera à combiner sécurité et qualité pour répondre aux besoins toujours croissants de l’entreprise.

Source : ZDNet.com

Catégories