Accueil Cybersécurité Avis d’expert – DevOps, les angles morts de la sécurité et comment...

Avis d’expert – DevOps, les angles morts de la sécurité et comment les atténuer

William Culbert

Alors que les équipes s’appuient sur les pratiques et les outils DevOps pour mettre sur le marché, le plus rapidement possible, les produits et les fonctionnalités répondant aux attentes des clients, comment réduire les failles de sécurité liées à la gestion des secrets ? Les réponses de William Culbert, directeur EMEA Sud de BeyondTrust.

 

Aujourd’hui, les équipes s’appuient sur les pratiques et les outils DevOps pour mettre sur le marché, le plus rapidement possible, les produits et les fonctionnalités répondant aux attentes des clients. Désormais, il ne s’agit pas seulement d’acquérir un avantage concurrentiel mais de faire face à la concurrence, d’être le plus rapide. Des processus et des flux de travail qui prenaient auparavant des mois, voire des années, peuvent aujourd’hui être condensés en quelques minutes. Cependant, il arrive que, par inadvertance, les équipes aient mis de côté les mesures de sécurité pour privilégier la productivité, commettant ainsi des fautes évitables. De fait, aujourd’hui, DevOps représente l’une des surfaces d’attaque qui se développe le plus rapidement au sein d’une organisation.

Voici les trois principales failles de sécurité liées à la gestion des secrets et la façon dont elles peuvent être réduites afin de minimiser les risques avec l’utilisateur final et de soutenir l’agilité requise pour des opérations DevOps.

1 Des identifiants dispersées dans une multitude d’endroits… en format texte !

Les développeurs travaillent encore dans des environnements où les secrets, les identifiants et les mots de passe sont souvent laissés dans des endroits vulnérables, stockés dans du code ou répartis entre plusieurs outils et applications. Il s’agit d’identifiants intégrés dans un code créé pour faciliter un processus ou stockés dans des outils pour être partagés avec d’autres utilisateurs ou applications. L’absence de cryptage et la multitude d’endroits où sont stockés ces derniers en font une cible facile pour les acteurs malveillants. Ils représentent un angle mort commun de la sécurité DevOps. Les développeurs oublient souvent où sont stockés ces mots de passe ou ces clés. Cette situation se répète et contribue à l’expansion des secrets.

-> La solution ? le cryptage, la centralisation et la gestion des secrets depuis un coffre-fort

La centralisation du stockage et de la gestion des secrets ainsi que le cryptage sont des mesures nécessaires pour éliminer le risque. Il est essentiel de mettre tous les secrets sous clé, de données l’accès aux bons utilisateurs et aux bonnes applications grâce à des contrôles d’accès granulaires. Le cryptage constitue une autre mesure de sécurité qui peut protéger les secrets des regards indiscrets.

2 Un faux sentiment de « sécurité » lors de l’utilisation d’outils « gratuits »

Cet angle mort peut se présenter sous différentes formes. Aucun outil DevOps ne veut être étiqueté comme peu sûr, mais tous ne sont pas conçus dans un but de sécurité. Ainsi, par exemple, l’outil peut opter pour la simplicité dans des domaines tels que le codage plutôt que le cryptage et ignorer des concepts essentiels au contrôle et à la sécurisation des privilèges (tels que les contrôles d’accès ou l’audit). Il est également important de prendre en compte le coût total de possession lors de l’évaluation de tout élément de la chaîne d’outils CI/CD (intégration et déploiement en continu). Si un outil gratuit ou intégré peut être séduisant, il est possible qu’il ne réponde pas à vos exigences plus générales en matière de sécurité ou de conformité.

-> La solution : le passage à des outils de qualité professionnelle

Lors de l’achat d’un outil DevOps et, surtout, d’un outil de gestion des secrets, il est essentiel de comprendre les exigences de base en matière de sécurité et les « enjeux » dans un environnement d’entreprise. L’évolutivité, la sécurité et la fiabilité sont des exigences essentielles auxquelles les outils gratuits ne pourront probablement pas répondre. Mais les exigences ne s’arrêteront peut-être pas là. Il est important de faire participer ses équipes pour que la sécurité fasse partie du processus dès le départ. Pour ceux qui travaillent avec des outils gratuits, une évaluation approfondie peut être nécessaire pour éviter une éventuelle perturbation de la disponibilité des applications ou, pire, une compromission des données. Les équipes doivent passer à des outils capables de prendre en charge l’évolutivité et la sécurité requises par l’entreprise et ses clients.

 

3 Un manque de traçabilité et d’auditabilité

Lorsque les organisations manquent de visibilité quant à qui accède à quoi, le tri, les diagnostics et la gestion des incidents, il est alors incroyablement difficile de réussir son audit. Du point de vue de l’entreprise, cette situation est exacerbée par le manque de responsabilité et peut entraîner l’échec des audits. Ces derniers coûtent de l’argent, des ressources et retardent inutilement le processus de développement. Cette défaillance a certainement un effet en cascade.

-> La solution : l’audit et l’enregistrement complet

Les entreprises exigent que toute activité privilégiée (humaine et machine) soit enregistrée. Les équipes de sécurité ont besoin d’un accès instantané aux historiques qui les informent des contrôles d’autorisations, de l’authentification et, idéalement, du cycle de vie complet des secrets. Comme nous automatisons le processus de développement, il est logique d’automatiser l’auditabilité des opérations secrètes pour la gestion des incidents, le tri et les rapports de conformité. Cela permettra d’économiser des ressources précieuses et pourra peut-être alerter l’organisation sur les menaces potentielles avant qu’un accord ne soit trouvé.

 

Une architecture de sécurité vaste et complexe n’est pas forcément nécessaire pour réduire la surface d’attaque et apporter des améliorations mesurables à la protection des données sensibles. À mesure que les pratiques de développement de logiciels et d’applications continuent d’évoluer, les organisations doivent trouver un équilibre entre agilité et sécurité. Choisir des solutions de sécurité qui adoptent une approche similaire en matière d’automatisation, de flexibilité et d’agilité, mais qui offrent des fonctionnalités robustes au niveau de l’entreprise, contribuera à cet équilibre.