Comment assurer la collaboration entre la sécurité et le développement ?

0

Une certaine tension entre les développeurs et l’équipe sécurité est souvent évoquée. La collaboration entre les deux ne serait qu’un doux rêve. Faux ! « Faire un pas de côté » peut apporter une réelle différence : en déplaçant la sécurité de la fin du cycle de développement logiciel à une étape antérieure du processus. En employant des outils de sécurité au sein même de leur environnement de travail, les développeurs peuvent éliminer leur cauchemar : essayer de détecter toutes les failles de sécurité une fois le reste du développement réalisé. 

Le potentiel d’une meilleure sensibilisation à la sécurité et d’une réalisation plus efficace en DevOps devient alors très clair. Il suffit de constater à quels points des vulnérabilités basiques, mais sérieuses, posent encore et toujours des problèmes de sécurité dans le cloud. Ainsi, le dernier Cloud Threat Report de notre bureau d’étude, Unit 42, a montré un faible niveau de sécurité dans les infrastructures et logiciels basés dans le cloud : 74 % des installations qu’ils ont examinées faisaient tourner des processus professionnels dans Google Cloud avec des privilèges administrateurs qui ne sont pas assez sécurisés.

« DevSecOps » est le terme qui résume ce changement culturel qui doit se produire pour éliminer ces problèmes. Avec le DevSecOps, les équipes créant les applications peuvent savoir comment le code est écrit et déployé dans le cloud ou ailleurs, mais également savoir comment les opérations y sont sécurisées. DevSecOps signifie considérer et intégrer la sécurité à toutes les étapes et tout au long du cycle de vie logiciel.

Le but du DevSecOps est de rendre les processus DevOps et ceux lié à la sécurité bien plus sûrs en détectant bien plus tôt les problèmes éventuels.

Ouvrir les lignes de communication

Donc dans cet état d’esprit, quels sont les éléments clés pour réussir ? L’un des plus évidents et de casser les silos qui existent entre le développement et la sécurité. Il y a plusieurs approches pour cela, comme intégrer un responsable sécurité à l’équipe de développement ou former les développeurs en la matière. Quelle que soit l’approche choisie, un point crucial est de surmonter les barrières de communication. Une idée préconçue commune est que la sécurité ne consiste qu’à dire « non » à toutes les requêtes pour réduire les risques. D’un point de vue sécuritaire, une autre est que les développeurs ne veulent que produire du code, et que la sécurité ne compte pas pour eux. Aucun des deux points de vue n’est fondamentalement exact.

Comme tout le monde, les responsables de la sécurité veulent la réussite de leur entreprise et que les projets se concrétisent. Les développeurs voient aussi un peu plus loin que la délivrance du code : de plus, ils savent que si quelque chose se produit, cela aura des conséquences lourdes, ce qu’ils veulent éviter. 

Alors qu’une communication ouverte et une compréhension mutuelle sont clés, il est tout aussi important que les équipes DevSecOps aient une boîte à outils intégrée et capable de suivre et de gérer les changements qui pourraient survenir au sein de l’entreprise. Que l’on parle de changement dans les prestataires de cloud, dans les couches de développement ou autre, il y a un réel besoin d’avoir une plate-forme fonctionnelle où que vous soyez : dans le cloud ou sur site. 

Les nouvelles approches du développement dans le cloud aident en dévoilant de nouvelles méthodes pour apporter de la sécurité. La technologie existe désormais pour chercher les failles de sécurité directement sur l’écran du développeur jusqu’à une vérification automatique et une protection des environnements de production. Et au delà, la base d’une bonne sécurité est l’analyse comportementale et des utilisateurs pour minimiser les risques. 

Alors que les outils sont des éléments essentiels pour faciliter le DevSecOps, il reste d’autres problèmes à résoudre. Cela comprend notamment les « inconnues » que les sociétés rencontrent en accélérant leur transformation numérique.

Les plus grandes difficultés que peuvent rencontrer les entreprises en essayant de fusionner la sécurité avec le développement sont souvent que tous veulent la réponse la plus simple. À savoir une sécurité « suffisante », mais ce n’est jamais une bonne idée. 

Pour en sortir, il faut changer l’état d’esprit des responsables sécurité pour bien faire comprendre que tout le monde aura sa part de travail à faire. Il n’y a pas de raccourcis possibles.
Cultiver le DevSecOps prend du temps. Il faut effectuer une double tâche en investissant dans les outils pour que le développement et la sécurité travaillent ensemble ; et fournir de véritables efforts pour éliminer les barrières de communication, développer la bonne culture et établir des processus permettant aux développeurs et aux professionnels de la sécurité de travailler ensemble dans un but commun.

Share.

About Author

Directeur technique, Palo Alto Networks

Leave A Reply