Cybersécurité et DevOps : le chemin sinueux vers une véritable amitié
Ou tout simplement survivre. Cela est d’autant plus vrai que le développement de nouvelles technologies et d’innovations s’accompagne de nouvelles vulnérabilités auxquelles les équipes IT doivent faire face.
Les équipes chargées des opérations de développement (DevOps), par exemple, bien qu’elles apportent une plus grande flexibilité aux systèmes IT, ont favorisé l’expansion de la surface d’attaque. Si une approche DevOps efficace garantit des cycles de développement rapides et fréquents (en semaines ou en jours), les pratiques de sécurité obsolètes peuvent neutraliser les avantages offerts par les projets DevOps les plus efficaces.
Cependant, depuis plus d’une décennie, cette fonction est dissociée de la cybersécurité, qui a été ajoutée à la toute fin du processus de développement, alors qu’elle aurait dû être intégrée dès le départ (DevSecOps).
Bien que la situation ne soit pas tranchée, et que la collaboration entre les deux fonctions se soit accrue au fil du temps, il s’agit toujours d’un ouvrage en cours dans lequel les principaux protagonistes s’égarent encore de temps à autre, avec pour résultat l’apparition de vulnérabilités malgré tous les efforts consentis par les deux parties.
Dans le contexte actuel, où les équipes sont plus disséminées que jamais en raison du travail à distance, les deux parties devraient parvenir à un respect mutuel et trouver un langage commun si elles veulent atteindre le même objectif : protéger les actifs de l’entreprise et lui permettre de prospérer. Dans le cas contraire, elles pourraient se retrouver dans une situation délicate.
Les responsables de la sécurité ont pour objectif de maintenir la sécurité et la stabilité. En revanche, le DevOps repose sur des cycles de développement rapides, axés sur la flexibilité, l’expérimentation et l’adaptation au changement.
Par conséquent, la sécurité n’est généralement envisagée qu’aux dernières phases du développement logiciel, ce qui limite l’efficacité des mesures prises après coup. Pour que les deux équipes puissent travailler efficacement, la collaboration est nécessaire dès le début du cycle de vie des logiciels.
Le DevSecOps : la clé de la sécurité
En général, les équipes de sécurité détectent les vulnérabilités à la fin du cycle de développement des logiciels. Cette méthode de travail se traduit souvent par un ralentissement de la stratégie de mise sur le marché et peut engendrer des retards dans le codage.
Le DevSecOps est l’approche qui consiste à intégrer les pratiques de sécurité dans le processus DevOps dès le début. Les responsables de la sécurité peuvent modifier leurs méthodes de travail afin de tenir compte des questions de sécurité à un stade plus précoce du processus de planification du développement.
En se concentrant sur la prévention continue des problèmes, plutôt que sur leur détection ultérieure, les deux équipes travaillent plus efficacement et de manière plus efficiente.
Comprendre le rôle des conteneurs dans la sécurité
Les conteneurs révolutionnent la manière dont les logiciels sont conçus afin d’accélérer et de simplifier considérablement le développement et le déploiement des applications tout en réduisant les coûts opérationnels et en favorisant l’innovation.
En revanche, les conteneurs peuvent également engendrer de graves vulnérabilités en matière de Cyber Exposure. Les conteneurs ont une courte durée de vie, peuvent atteindre leur vitesse de croisière et disparaître en quelques minutes, ce qui les rend difficiles à détecter avec les méthodes de détection traditionnelles.
Il est également difficile d’évaluer les problèmes de sécurité qui y sont associés, et les mesures correctives exigent la mise en œuvre de stratégies différentes par rapport à l’approche IT plus traditionnelle.
L’une des méthodes clés qui permettent aux responsables de la sécurité de collaborer avec les DevOps consiste à intégrer l’évaluation des vulnérabilités et les mesures correctives dans ce que l’on appelle les cycles d’intégration continue et de déploiement continu (Continuous Integration and Continuous Deployment – CI/CD).
Cette procédure garantit que toutes les nouvelles images de conteneurs sont soumises à des tests de sécurité pendant la phase d’assurance qualité (QA) du cycle de vie des DevOps, parallèlement à d’autres tests tels que les tests d’unité et d’intégration. L’intégration précoce de la sécurité dans les DevOps est un atout majeur pour l’efficacité de la cybersécurité.
Tester et automatiser dans la mesure du possible
De nombreuses organisations dotées de solides processus DevOps génèrent quotidiennement des dizaines, voire des centaines, de mises à jour logicielles. Dans ces environnements, le recours à des processus manuels rend le suivi de la sécurité fastidieux et même impossible.
Il est ainsi préférable de lancer automatiquement des tests de sécurité à chaque modification de conception ou lorsque de nouvelles vulnérabilités sont détectées. L’automatisation offre un niveau de sécurité élevé dans tous les domaines des DevOps, non seulement en tant que partie intégrante de l’environnement de développement intégré (IDE) d’un développeur, mais aussi au sein de la chaîne d’outils CI/CD.
La prévention proactive l’emporte sur la détection de dernière minute
Lorsque la sécurité est assurée de l’intérieur, il est plus difficile pour les acteurs de la menace d’y pénétrer. Par conséquent, le fait de traiter les vulnérabilités et d’y remédier de manière proactive dès le début du cycle de développement permet d’économiser du temps et de l’argent, par rapport à la correction des vulnérabilités au niveau de la production.
Les coûts associés à la correction des failles de sécurité sont généralement deux à trois fois plus élevés après la mise sur le marché que dans le cadre d’un test d’assurance qualité préalable. Le vieil adage se vérifie assurément en matière de sécurité : « mieux vaut prévenir que guérir ».
Évaluer et analyser les pratiques en vigueur
Les guides de procédure sont utiles pour créer un cadre qui garantit le respect des bonnes pratiques. Ils privilégient la simplicité, la concision et la fiabilité, ainsi que la prévisibilité et l’efficacité opérationnelle. Dans le même temps, il est essentiel de développer une culture des meilleures pratiques en matière de sécurité, par exemple en dotant les développeurs expérimentés des outils nécessaires.
Ceux-ci devraient être habilités à tenir des registres des analyses, des déploiements et des méthodes de codage afin de veiller au respect rigoureux des meilleures pratiques en matière de sécurité. Par ailleurs, il est important que les développeurs utilisent des composants logiciels homologués et des images provenant de registres et de référentiels qui ont été testés et approuvés par l’équipe de sécurité.
C’est en forgeant que l’on devient forgeron. En révisant et en évaluant ces cadres et ces processus au moins deux fois par an, l’équipe sera mieux à même de répondre aux préoccupations complexes des DevSecOps.
La sécurité est l’affaire de tous
Il ne fait aucun doute que le monde dans lequel nous vivons impose une certaine rapidité pour maintenir sa compétitivité sur le marché. Alors que l’IT tente de suivre le rythme et que la transformation numérique est en plein essor, les équipes de sécurité et les développeurs n’ont d’autre choix que de réinventer leur façon de penser et de collaborer.
Pour ce faire, il convient notamment de veiller à ce que l’ensemble de l’organisation et de ses parties prenantes soient prêtes à accepter la responsabilité qui leur incombe en matière de cybersécurité.
L’année 2020 apporte son lot de défis pour les entreprises, celles-ci étant confrontées à une période de turbulences à de nombreux niveaux. La cybersécurité ne fait pas exception et représente une mine d’or pour les cybercriminels dans de nombreux secteurs.
Beaucoup trop d’entreprises ont été prises par surprise et ont dû mettre en place des pratiques de travail à distance pratiquement du jour au lendemain. Le risque est omniprésent et ne peut être ignoré.
C’est pourquoi les DevOps et la cybersécurité doivent reconnaître qu’elles se trouvent dans le même bateau et tenir la barre, ensemble, pour prévenir de futures attaques. Cet appui interne viendra renforcer l’entreprise et garantira à la fois sa stabilité et sa productivité, même en période de tempête.
