En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site vitrine pour un courtier en assurance
    < 1 200 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de consommables pour le travail de la pierre
    < 5 000 €
    > En savoir plus
  • Formateur en E-learning pour une union national du sport
    <2000 €
    > En savoir plus
Schneider_SMARTBUNKER_leaderboard

Intégrer la sécurité au processus DevOps

Schneider_SMARTBUNKER_pavé

Agilité et sécurité font rarement bon ménage, comment les coordonner ? Matthieu de Montvallon, directeur Technique ServiceNow France, répond à la question pour les lecteurs de Solutions Numériques.
DevOps, un nom qui parle de lui-même. En réunissant Développement et Opérations, le DevOps annonce un haut niveau de rapidité et d’agilité, avec à la clé des délais réduits de lancement des nouvelles initiatives logicielles.

Très bien, mais quid de la sécurité ? Le terme ne figure pas dans l’expression « DevOps ». Et si ce concept fait la part belle à l’agilité, la sécurité a pour sa part la mission de vérifier que les nouveaux logiciels soient entièrement testés et protégés contre des failles et des menaces connues. Or agilité et sécurité font rarement bon ménage.
Peut-être est-ce pour cette raison que les équipes chargées de la sécurité n’ont pas été intégrées d’emblée aux équipes de DevOps ? C’est une erreur, car lorsqu’elles opèrent séparément, les équipes DevOps et Sécurité entrent en conflit. Plus le DevOps est rapide, moins les logiciels sont sécurisés. Et plus la sécurité s’immisce dans le processus, moins le DevOps est agile.

Il existe aujourd’hui une meilleure approche. En intégrant la sécurité au processus DevOps, les deux objectifs sont remplis : le DevOps atteint le degré de rapidité et d’agilité souhaité, tandis que l’équipe Sécurité assure le niveau de sûreté et de protection requis contre les failles et les menaces. Facile à dire…

Intégrer la sécurité au processus DevOps est un challenge. La sécurité est en soi une course aux armements particulièrement complexe. De nouvelles failles et menaces surgissent quotidiennement, de sorte qu’il est difficile de se tenir totalement informé sans perdre de son agilité. De plus, la sécurité est habituée à un certain cloisonnement. Franchement, les responsables de la sécurité se présentent souvent en « maîtres des arts obscurs », mais certainement pour de bonnes raisons.

Comment intégrer la sécurité au DevOps ?

Les avantages potentiels étant tellement importants, il faut étudier de près les possibilités d’intégrer efficacement la sécurité au DevOps.

– Tout d’abord, cette intégration implique la rupture de certains processus et préjugés bien enracinés. Par exemple, au lieu de contrôler la sécurité lors de la dernière étape, pourquoi ne pas mettre en place un processus continu qui commencerait au premier jour du cycle de vie d’un projet logiciel ? C’est une opération délicate qui nécessite l’automatisation des tâches de sécurité élémentaires.
– Ensuite, alors que nous incorporons la sécurité dans le processus DevOps, il importe d’automatiser les tâches courantes pour éviter tout retard. Par exemple, l’automatisation de l’analyse des serveurs permet de vérifier leur conformité aux standards en place tandis que l’automatisation des tests de pénétration facilitera l’identification au plus tôt des failles potentielles.
– Au-delà de ces aspects, les équipes de sécurité devront modifier leur mode de fonctionnement. Au lieu de se considérer comme une entité autonome et indépendante, elles devront « jouer dans la même cour ». La Sécurité doit s’intégrer à DevOps et travailler en équipe.

Quel nouveau nom pour ce processus ? DevSecOps ?

Évidemment, personne ne sait réellement comment appeler cette coordination du DevOps et de la sécurité. Mais quel que soit le nom choisi, il est grand temps que la sécurité participe au DevOps afin de permettre aux entreprises de combiner un niveau optimum de vitesse, d’agilité, de sécurité et de protection.

Intégrer la sécurité au processus DevOps
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Revers judiciaire pour Samsung dans sa bataille contre Apple

    La Cour suprême des Etats-Unis a refusé lundi 6 novembre de remettre le pied sur…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

    Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec…

    > En savoir plus...
Etudes/Enquêtes
  • Disques durs d'occasion sur eBay : la moitié contiennent des informations personnelles et professionnelles critiques

    L'expérience est intéressante : une société spécialiste de la récupération de données a acheté 64…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
Global K_Data scientist_skycraper