Delicious Digg Facebook Favorites More Stumbleupon Twitter

Cybersécurité : les DSI doivent passer du DevOps au DevSecOps

Face à la croissance exponentielle des incidents de cybersécurité, les sociétés informatiques engagées dans l’adoption des pratiques DevOps doivent désormais évoluer vers le modèle  » DevSecOps », en intégrant la sécurité de façon continue sur l’ensemble du cycle de vie des applications. Selon une étude réalisée par Micro Focus auprès de 2 000 décideurs informatiques en France, 41 % des entreprises ont un projet DevSecOps à long ou moyen terme. Un chiffre qui montre que le Security by Design a le vent en poupe, dans un contexte où la protection des données est plus que jamais au cœur des préoccupations et des législations.

L’automatisation, un avantage dans la protection des données clients

Pour les entreprises, les initiatives DevOps d’automatisation du cycle de vie des applications sont prédominantes. Elles voient en effet en l’automatisation le moyen d’accroître leur productivité, leur rapidité d’exécution, mais également de réduire les tâches répétitives, parfois sources d’erreurs humaines.

 » L’agilité et la transformation numérique semblent être au cœur des débats pour l’adoption de l’automatisation. Mais au-delà de ces démarches, de nouvelles législations telles le RGPD contraignent les entreprises à garantir plus efficacement la protection et la confidentialité des données de leurs clients. Les entreprises qui ne seraient pas conformes au RGPD se verraient infliger des pénalités pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel. Les premières sanctions en France sont d’ailleurs déjà tombées, » commente Guillaume Alex, DevSecOps Evangelist chez Micro Focus.

 » L’automatisation permet aux équipes de développeurs de pouvoir revenir à des versions antérieures rapidement en cas de failles de sécurité́ liées au code. Avantage non négligeable quand l’on sait que la protection des données clients est la préoccupation majeure des DSI. L’atteinte à l’image de l’entreprise en cas de fuite de données peut être très préjudiciable. La confiance des clients est très difficile à gagner, mais très facile à perdre » poursuit-il.

Des entreprises de plus en plus sujettes aux incidents de cybersécurité

Les contraintes légales liées à la protection des données personnelles sont d’autant plus de rigueur que 69 % des répondants admettent avoir déjà subi des incidents de sécurité.

Parmi les causes explicatives :

• Le manque de sensibilisation de l’organisation IT,

• Les bonnes pratiques de gestion des problèmes sont peu adoptées par les DSI, ce qui n’encouragent pas la définition et la mise en œuvre de plans de prévention,

• Le manque de formalisme des retours d’expériences, ne permettant pas de capitaliser en transverse de la DSI,

• Les boucles de rétroaction des équipes Ops vers les équipes Dev trop rares, ne permettant pas d’enrichir en continu le relevé des besoins en termes de sécurité applicative.

Étonnement, 1/3 des répondants estime n’avoir jamais rencontré d’incidents de sécurité. Cette réponse peut s’expliquer par des lacunes au sein de certaines DSI dans la détection des vulnérabilités, et le manque de tests d’intrusion.

La sécurité IT encore trop peu intégrée aux cycles applicatifs

Les 2/3 des répondants n’intègrent pas la sécurité dès le début de la phase de développement, principalement par manque de ressources et de compétences (66 %) et de budget (45 %). De surcroit, 67 % des équipes de sécurité n’interviennent que ponctuellement dans le cycle applicatif.

 » Un spécialiste de la sécurité IT et un Product Owner ne seront pas forcément en mesure de rédiger correctement des ‘’stories » en lien avec la sécurité. Car elles ne sont pas vraiment des ‘’users stories » mais plutôt des cas d’usage exprimés exclusivement par des développeurs et des architectes pour prévenir des vulnérabilités. Ces ‘’stories » sont plus perçues comme des contraintes supplémentaires, et donc la tentation de les mettre de côté est grande tant que Product Owner n’en exprime pas le besoin de façon explicite, » commente Virgile Delecolle, DevOps Presales Manager chez Micro Focus.

Paradoxalement, les avantages du Security by Design font la majorité

Pourtant, la majorité s’accorde sur les avantages d’une démarche de Security by Design, ou DevSecOps, notamment pour le respect des exigences de sécurité / conformité (82 %), la prévention active de la cybercriminalité (60 %) et la réduction du nombre d’incidents post-déploiement (58 %).

 » Plus un bug est détecté tardivement dans le cycle de vie d’une application, plus le coût de résolution est élevé. En effet, un bug de sécurité́ repèré en production coûte 100 fois plus cher à résoudre que lorsqu’il a été détecté dans la phase de spécification. En automatisant les tests de sécurité́ sur l’ensemble du cycle de vie applicatif, le cout potentiel de non qualité pour l’entreprise sera infiniment moindre, sans parler de son image de marque. De plus, le traitement des vulnérabilités de façon intégrée permet de ne pas ralentir le rythme de livraison, » commente Guillaume Alex, DevSecOps Evangelist chez Micro Focus.

Mieux vaut prévenir que guérir : les recommandations de Micro Focus

• La sensibilisation et la formation des équipes opérationnelles aux risques de sécurité et aux bonnes pratiques,

• Security by Design, ou la sécurité́ intégrée dans le cycle applicatif notamment en livraison continue,

• La standardisation du recueil d’exigences de sécurité,

• L’automatisation des tests de sécurité,

• La systématisation des tests d’intrusion : automatiser au maximum les tests de sécurité́, prendre en compte les recommandations et mesures correctives soulevées par les rapports d’audit,

• S’appuyer sur des équipes dédiées à la cybersécurité, avec un renfort de sociétés spécialisées notamment pour mener des audits externes.

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.