En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 26/06/2017
    OW2con’17

    OW2 anime une communauté open source mondiale dédiée à l'essor de logiciels libres et un…

    en détail En détail...
  • 03/07/2017
    Cloud Week 2017

    La Cloud Week 2017 se déroule du 3 au 7 juillet 2017 dans différents lieux…

    en détail En détail...
Appels d'offres en cours
  • Mise en place d'un site e-commerce pour une société spécialisée dans l'électricité
    <2000 €
    > En savoir plus
  • Création d'un logo et réalisation d'un packaging pour une société spécialisée dans la rééducation
    A déterminer €
    > En savoir plus
  • Solution de gestion electronique de courrier online et offline
    A déterminer €
    > En savoir plus
Banniere_Cloudweek_leaderboard

Intégrer la sécurité au processus DevOps

Kaspersky_true-cybersecurity_pave

Agilité et sécurité font rarement bon ménage, comment les coordonner ? Matthieu de Montvallon, directeur Technique ServiceNow France, répond à la question pour les lecteurs de Solutions Numériques.
DevOps, un nom qui parle de lui-même. En réunissant Développement et Opérations, le DevOps annonce un haut niveau de rapidité et d’agilité, avec à la clé des délais réduits de lancement des nouvelles initiatives logicielles.

Très bien, mais quid de la sécurité ? Le terme ne figure pas dans l’expression « DevOps ». Et si ce concept fait la part belle à l’agilité, la sécurité a pour sa part la mission de vérifier que les nouveaux logiciels soient entièrement testés et protégés contre des failles et des menaces connues. Or agilité et sécurité font rarement bon ménage.
Peut-être est-ce pour cette raison que les équipes chargées de la sécurité n’ont pas été intégrées d’emblée aux équipes de DevOps ? C’est une erreur, car lorsqu’elles opèrent séparément, les équipes DevOps et Sécurité entrent en conflit. Plus le DevOps est rapide, moins les logiciels sont sécurisés. Et plus la sécurité s’immisce dans le processus, moins le DevOps est agile.

Il existe aujourd’hui une meilleure approche. En intégrant la sécurité au processus DevOps, les deux objectifs sont remplis : le DevOps atteint le degré de rapidité et d’agilité souhaité, tandis que l’équipe Sécurité assure le niveau de sûreté et de protection requis contre les failles et les menaces. Facile à dire…

Intégrer la sécurité au processus DevOps est un challenge. La sécurité est en soi une course aux armements particulièrement complexe. De nouvelles failles et menaces surgissent quotidiennement, de sorte qu’il est difficile de se tenir totalement informé sans perdre de son agilité. De plus, la sécurité est habituée à un certain cloisonnement. Franchement, les responsables de la sécurité se présentent souvent en « maîtres des arts obscurs », mais certainement pour de bonnes raisons.

Comment intégrer la sécurité au DevOps ?

Les avantages potentiels étant tellement importants, il faut étudier de près les possibilités d’intégrer efficacement la sécurité au DevOps.

– Tout d’abord, cette intégration implique la rupture de certains processus et préjugés bien enracinés. Par exemple, au lieu de contrôler la sécurité lors de la dernière étape, pourquoi ne pas mettre en place un processus continu qui commencerait au premier jour du cycle de vie d’un projet logiciel ? C’est une opération délicate qui nécessite l’automatisation des tâches de sécurité élémentaires.
– Ensuite, alors que nous incorporons la sécurité dans le processus DevOps, il importe d’automatiser les tâches courantes pour éviter tout retard. Par exemple, l’automatisation de l’analyse des serveurs permet de vérifier leur conformité aux standards en place tandis que l’automatisation des tests de pénétration facilitera l’identification au plus tôt des failles potentielles.
– Au-delà de ces aspects, les équipes de sécurité devront modifier leur mode de fonctionnement. Au lieu de se considérer comme une entité autonome et indépendante, elles devront « jouer dans la même cour ». La Sécurité doit s’intégrer à DevOps et travailler en équipe.

Quel nouveau nom pour ce processus ? DevSecOps ?

Évidemment, personne ne sait réellement comment appeler cette coordination du DevOps et de la sécurité. Mais quel que soit le nom choisi, il est grand temps que la sécurité participe au DevOps afin de permettre aux entreprises de combiner un niveau optimum de vitesse, d’agilité, de sécurité et de protection.

Notez cet article

Laisser un commentaire

Surmonter une attaque de cryptovirus

La récente attaque WannaCry a, une fois de plus, prouvé la vulnérabilité des entreprises face aux ransomwares. Découvrez dans ce livre blanc les vecteurs de propagation des cryptovirus et comment vous en prémunir.

Lire le livre blanc

Sondage

Attaques cyber: les DSI prennent-elles trop de temps pour mettre en place les mises à jour Windows ?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Voitures autonomes : Uber renvoie l'ingénieur à l'origine du conflit avec Waymo, filiale de Google

    (AFP) Uber a indiqué mardi 30 mai avoir licencié Anthony Levandowski, l'ingénieur à l'origine d'une…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - Accélérer l’adoption de la technologie grâce à l’assurance de service

    Daniel Crowe, Directeur Régional France et Europe du Sud de NETSCOUT explique aux lecteurs de Solutions…

    > En savoir plus...
Etudes/Enquêtes
  • D'ici à 2025, 163 zettaoctets (Zo) de données seront créés, dont 60 % par les entreprises

    IDC prévoit que la création de données va s’amplifier pour atteindre un total de 163…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Kaspersky_true-cybersecurity_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc : votre entreprise pourrait-elle surmonter une attaque de cryptovirus ?

    > Voir le livre
  • Les 7 erreurs majeures qui font "dérailler" votre projet CMS (et comment les éviter)

    > Voir le livre
Kaspersky_true-cybersecurity_skycraper