Point de vue

DevSecOps et le cyber-impératif 

Elever, intégrer et faire évoluer votre réponse aux risques

Pour améliorer leur approche des risques cyber et autres risques, les organisations intègrent la sécurité, la confidentialité, les politiques et les contrôles dans leur culture et leurs processus DevOps, permettant ainsi à toute l'organisation informatique de partager la responsabilité de la sécurité.

À mesure que la tendance DevSecOps s'intensifie, de plus en plus d'entreprises feront probablement de la modélisation des menaces, de l'évaluation des risques et de l'automatisation des tâches de sécurité des éléments fondamentaux de leurs initiatives de développement de produits, de l'idéation à l'itération, du lancement aux opérations. DevSecOps transforme fondamentalement la cybergestion et la gestion des risques, qui ne sont plus des activités basées sur la conformité - généralement entreprises vers la fin du cycle de vie du développement - mais des activités essentielles de cadrage tout au long du parcours du produit. En outre, DevSecOps codifie les politiques et les meilleures pratiques en outils et en plateformes sous-jacentes, permettant à la sécurité de devenir une responsabilité partagée par l'ensemble de l'organisation informatique.

 

DevSecOps en quatre parties

DevSecOps intègre une culture, des pratiques et des outils sécurisés pour favoriser la visibilité, la collaboration et l'agilité dans chaque phase du pipeline DevOps. Bien que les entreprises puissent adapter leurs approches de la sécurité pour soutenir leurs propres programmes informatiques et leurs besoins en matière de produits, les initiatives DevSecOps reposent généralement sur quatre piliers fondamentaux : 

  • Les personnes. Lorsque vous intégrez la sécurité dans votre pipeline DevOps, n'oubliez pas que les personnes restent votre plus grand atout en termes d'efficacité (ou d'inefficacité).
  • Les processus. En gardant à l'esprit que la vitesse et la qualité sont les clés de DevSecOps, essayez de simplifier au maximum les processus manuels sans sacrifier les besoins de cybersécurité.
  • La technologie. L'introduction de DevOps a créé une pléthore de solutions basées sur le cloud que les équipes de développement utilisent pour accélérer la livraison.
  • La gouvernance. Le terme de gouvernance est large par sa conception, mais il y a deux façons de penser à la gouvernance de la cybersécurité dans le monde des DevSecOps :

    • Au niveau micro (le monde qui tourne autour des équipes de produits). L'intégration de la cybersécurité dans les DevOps peut renforcer l'efficacité de la gouvernance. Comment ? De par sa conception, DevSecOps nécessite un processus très cohérent qui utilise un ensemble uniforme d'outils et de contrôles automatisés. Cela permet de simplifier la surveillance et les tests des contrôles requis. 
    • Au niveau macro. DevOps a transformé la façon dont les organisations informatiques travaillent. Dans certaines entreprises, les opérations informatiques - qui comprenaient traditionnellement un mélange de cadres supérieurs, de dirigeants et d'ingénieurs - évoluent vers une hiérarchie plus plate composée d'un nombre réduit de postes de direction soutenus par des architectes et des ingénieurs.

 

Êtes-vous prêt ?

Intégrer la sécurité dans les pipelines DevOps peut sembler simple au départ. Après tout, si DevSecOps n'est qu'une façon de penser à la sécurité, alors le déploiement dans votre usine DevOps devrait être un jeu d'enfant, non ? Pour les quelques personnes qui maîtrisent parfaitement DevOps, peut-être. Pour tous les autres - et c'est le cas de la plupart des organisations - le développement de pratiques DevSecOps sera probablement une autre composante des initiatives DevOps existantes qui en sont encore à leurs débuts. Par exemple, dans son rapport 2018 sur les développeurs mondiaux, le GitLab a interrogé environ 5 300 professionnels de l'informatique sur leurs expériences en matière de DevOps. 35% des personnes interrogées ont déclaré que la culture DevOps de leur entreprise était "quelque peu établie". Seuls 23 % des personnes interrogées iraient jusqu'à décrire leur méthode de développement comme étant du DevOps.
Lorsque vous explorez les possibilités offertes par DevSecOps, posez-vous les questions suivantes, non seulement sur la sécurité, mais aussi sur la manière dont elles peuvent affecter vos efforts DevOps actuels : 

  • Devrai-je engager des développeurs ayant des compétences en matière de sécurité ?
  • Les DevSecOps ne vont-ils pas ralentir mon pipeline ?
  • DevSecOps peut-il être compatible avec mon exigence de conformité ?
  • Mon processus DevOps est encore immature. Comment puis-je m'assurer que ma gouvernance DevSecOps est évolutive ?

DevSecOps et le cyber-impératif

Elever, intégrer et faire évoluer votre réponse aux risques

Télécharger l'étude
${label_bt2}

La défense connectée : renforcer la lutte contre la criminalité financière 

Utiliser les technologies 4IR pour prévenir et détecter l'écosystème croissant de la criminalité financière

Cybersécurité Intelligente

Comment l'IA peut aider à gérer les risques cyber