Repenser la sécurité du nuage avec DevSecOps
Le DevOps est la combinaison de philosophies culturelles, de pratiques et d’outils qui augmentent la capacité d’une organisation à livrer des applications et des services à grande vitesse. En supprimant les cloisons traditionnelles entre le développement et les opérations, le DevOps crée des pipelines dynamiques d’intégration et de livraison continues (CI / CD) qui distribuent les logiciels en cycles plus rapides et en lots plus petits. Le DevOps aide à moderniser les systèmes de technologie patrimoniaux, permettant aux organisations de mieux rivaliser dans l’économie logicielle basée sur les données.
L’adoption des outils et pratiques de DevOps a explosé et le pourcentage de professionnels des TI travaillant dans les équipes de DevOps est passé de 16% en 2014 à 27% en 2017. Au lieu de devenir un rôle que toutes les organisations doivent remplir, les processus de DevOps se répandent à travers des pipelines entiers. Toutes sortes d’équipes sortent de leurs cloisons et deviennent des équipes de DevOps à part entière.
Cette tendance a coïncidé avec la généralisation de la conteneurisation des charges de travail des applications. Les cycles de livraison plus courts et plus rapides que permettent les processus DevOps s’adaptent naturellement à la nature portable et éphémère des conteneurs. Ils peuvent agir en tant que contrepartie des technologies infonuagiques natives, traduisant l’efficacité et l’évolutivité accrues des charges de travail conteneurisées dans le nuage en une accélération de la livraison de fonctionnalités qui génère de la valeur pour l’entreprise.
Les organisations qui implémentent avec succès les outils et pratiques de DevOps ont donc:
- Deux fois plus de chances d’atteindre leurs objectifs commerciaux en matière de rentabilité, de part de marché et de productivité,
- Deux fois plus de chances de dépasser leurs objectifs de performance non commerciaux sur le plan de la quantité et de la qualité des produits et services, de l’efficacité opérationnelle, de la satisfaction des clients et des objectifs de mission globale, et
- Vu une croissance de 50% de la capitalisation de marché sur trois ans.
Le DevOps permet la transformation numérique en accélérant la livraison de logiciels et la possibilité de pivoter en cas de besoin, de respecter les réglementations et de répondre aux commentaires des clients. Pour cette raison, environ 47% des PDG ont subi des pressions de la part de leur conseil d’administration pour qu’ils passent au numérique en 2017. Selon les estimations, la moitié des directeurs informatiques qui n’ont pas suffisamment développé les capacités de leurs équipes seront déplacés des équipes de direction numérique de leur entreprise d’ici 2020. Le DevOps devient une exigence dans le monde infonuagique d’aujourd’hui, mais la complexité de son paysage rend souvent ambigu le parcours de la transformation.
Environ 31% du secteur n’applique pas les principes généralement considérés comme nécessaires à l’accélération des transformations technologiques, tels que l’intégration et la livraison continues, les cultures lean et agile et les cultures de travail collaboratives. Leur adoption tardive des outils et pratiques de DevOps peut être due en partie aux craintes liées à leur sécurité.
En particulier, les technologies de conteneurs ont connu une croissance si rapide que les technologies de sécurité n’arrivent pas à suivre cette croissance, et la sécurité tend à être le principal obstacle à l’adoption de conteneurs en production. De même, l’accent mis sur la suppression des cloisons entre le développement et les opérations a souvent laissé de côté la sécurité, ce qui a permis de créer des pipelines de livraison de logiciels fluides et dynamiques dont les cycles de livraison sont ralentis par les systèmes de sécurité patrimoniaux.
Le développement d’applications prend généralement la sécurité en compte à la toute fin du cycle de vie du logiciel, où les problèmes peuvent être difficiles et longs à régler. Les développeurs peuvent ne pas savoir comment prévenir les risques de sécurité courants et créer des problèmes qui auraient pu être facilement évités et que les équipes de sécurité informatique doivent résoudre. Les grandes entreprises ont souvent des ratios d’un travailleur en sécurité informatique pour dix travailleurs d’infrastructure et cent développeurs. Les équipes de sécurité informatique disposant d’un personnel insuffisant ou d’une formation insuffisante risquent d’accroître le nombre de risques et de retarder la livraison des fonctionnalités si elles doivent détecter et résoudre les problèmes de sécurité en dehors du processus de développement. Cependant, les retards sont souvent le résultat de processus. Même les équipes bien équipées retarderont les livraisons si elles doivent renforcer la sécurité au lieu de l’intégrer au processus de développement.
Le DevSecOps intègre des éléments de sécurité dans les pipelines DevOps. Il encourage la sécurité dans la phase de développement. Les conteneurs sont construits directement à partir d’images créées par des développeurs, qui devraient être tenus responsables de l’application de correctifs dans les images et de la livraison de nouvelles versions d’images à exécuter. Les configurations de compilation sécurisées sont automatisées afin de rester cohérentes tout au long de la compilation, des tests et du déploiement. En utilisant des outils et des techniques qui fonctionnent sur plusieurs plateformes et environnements, le DevSecOps transforme les outils de sécurité en processus aussi portables que les conteneurs sécurisés et appliqués de manière cohérente à toutes les étapes du déploiement et des opérations dans le nuage.
Le DevSecOps est une méthode efficace pour renforcer la sécurité des pipelines DevOps et réduire le fardeau des équipes de sécurité informatique ainsi que la fréquence et la gravité des problèmes. Les équipes de DevOps chargées quotidiennement de la sécurité dans les logiciels consacrent 50% moins de temps à la résolution des problèmes de sécurité que celles qui le font moins bien et moins fréquemment. Tout comme le DevOps peut augmenter la fréquence de livraison du logiciel en reflétant les courts cycles de vie des conteneurs, le DevSecOps peut également augmenter leur sécurité.
Alors que la sécurité peut et doit faire partie intégrante des initiatives DevOps, la complexité du paysage de DevOps et de la plateforme applicative peut rendre difficile la tâche de déterminer dans quelle mesure votre organisation a réussi à adopter les outils et processus de DevOps. Lisez notre livre blanc sur «Sécurisation de votre plateforme DevOps: Pipelines de logiciel, d’intergiciel et d’infrastructure pour l’entreprise moderne» pour en savoir plus.
Apprenez-en plus sur la manière dont CloudOps peut fournir à votre organisation une Évaluation des pratiques et plateformes DevOps qui analysera l’impact commercial et les exigences techniques de votre pile technologique et fournira des recommandations d’amélioration.