top of page

Pourquoi le DevSecOps est le nouveau DevOps

Pourquoi le DevSecOps est le nouveau DevOps

Dans les environnements DevOps qui évoluent rapidement, la sécurité doit être soigneusement prise en compte dans les phases de planification et de conception. Et dans un monde où les logiciels évoluent rapidement et de façon automatisée, les organisations ayant des pratiques de sécurité hautement intégrées ont également une longueur d’avance avec le DevOps.

D’où l’importance croissante accordée à l’extension du terme DevOps à DevSecOps — comme expliqué dans cette présentation de Red Hat, DevSecOps signifie “penser à la sécurité des applications et de l’infrastructure dès le départ. Cela signifie aussi automatiser certaines portes de sécurité pour éviter que le flux de travail de DevOps ne ralentisse.”

Le DevSecOps peut sembler être une activité aride, hautement technique et cloisonnée, mais dans la pratique, elle est façonnée par une culture ouverte qui cherche à fournir des innovations au rythme rapide dont les clients ont de plus en plus besoin. “Les entreprises qui subissent des transformations dues au DevOps veulent et ont besoin de conseils sur la façon d’intégrer la sécurité” affirment les auteurs d’un récent sondage publié par Puppet, CircleCI et Splunk Inc.

Pourquoi il est important de s’occuper de la sécurité ?

L’enquête Puppet/CircleCI/Splunk, qui a impliqué 3 000 développeurs et gestionnaires, valide la façon dont le DevSecOps améliore l’ensemble de la pratique DevOps. L’enquête révèle que les équipes qui sont parvenues à des niveaux élevés de pratiques du DevOps ont automatisé leurs politiques de sécurité et qu’elles impliquent les équipes de sécurité très tôt dans le cycle de développement du logiciel, y compris les phases de planification et de conception.

22 % des entreprises au plus haut niveau d’intégration de la sécurité ont atteint un stade avancé d’évolution de DevOps, contre seulement 6 % des entreprises sans intégration de la sécurité.

L’enquête montre que les entreprises avec un haut niveau d’intégration de la sécurité sont capables de se déployer en production à la demande à un taux nettement plus élevé que les entreprises à tous les autres niveaux d’intégration – 61 % sont capables de le faire. Et seulement 49 % des organisations sans sécurité intégrée peuvent se déployer à la demande.

Quelques conseils pour aller vers le DevSecOps

Selon l’enquête, une forte culture DevOps favorise également une plus grande sécurité. Il s’agit d’une “culture de partage, où les équipes collaborent à l’aide d’outils communs et travaillent à l’atteinte d’objectifs communs ; où les équipes de prestation jouissent d’une grande autonomie, mais où il est relativement facile de dépasser les frontières organisationnelles pour accomplir le travail”.

Quel est le meilleur chemin vers le DevSecOps ? Cisco, une organisation technologique tentaculaire avec un enjeu commercial énorme dans la livraison de logiciels sécurisés, a utilisé les méthodologies DevSecOps pour évaluer et améliorer sa sécurité à travers ses nombreux points de vente dans le cloud. Dans un post récent, Steve Martino, vice-président principal et chef de la sécurité de l’information chez Cisco, a partagé les détails du parcours de son entreprise :

  1. Établir une fondation. “L’utilisation de principes directeurs clairement définis pour assurer la sécurité tout au long du processus de développement aide à établir une confiance mutuelle entre les équipes d’ingénierie, d’exploitation et de sécurité “, écrit Martino.

  2. Prouvez votre point. “Chez Cisco, nous avons organisé un hackathon de sécurité Agile avec des participants des équipes de sécurité de l’information et des applications pour configurer les exigences de sécurité les plus importantes – ce que nous appelons les garde-corps.

  3. Automatisez vos garde-fous. “Offrez à vos équipes un moyen facile d’installer les glissières de sécurité, par exemple au moment de l’approvisionnement d’un nouveau compte. Développez aussi des scripts simples pour améliorer ceux qui ont déjà un compte.”

  4. Valider en permanence. “Au fur et à mesure que de nouvelles ressources sont intégrées ou que d’autres changements surviennent, maintenez les glissières de sécurité à jour grâce à une validation constante de la sécurité et à la surveillance en temps réel des journaux de sécurité. Envisagez de créer des rapports de santé sur la sécurité en fonction de critères de cotation ou de classement précis à envoyer régulièrement aux locataires du ministère.”

Article “DevSecOps is the new DevOps” traduit et adapté par ZDNet.fr

0 vue0 commentaire

Comments


bottom of page