Comprendre DevSecOps

  • 1 minute

Alors que l’adoption du cloud computing supporte de plus en plus la productivité de l’entreprise, une infrastructure de sécurité insuffisante peut malencontreusement compromettre les données.

Le rapport de Veille de sécurité Microsoft 2018 présente le constat que :

  • Les données ne sont pas chiffrées au repos et en transit par :
    • 7 % des applications de stockage SaaS (software as a service).
    • 86 % des applications de collaboration SaaS.
  • La protection de session des en-têtes HTTP est prise en charge par seulement :
    • 4 % des applications de stockage SaaS.
    • 3 % des applications de collaboration SaaS.

Secure DevOps (ou DevSecOps)

DevOps consiste à travailler plus rapidement. La sécurité consiste à optimiser l’exhaustivité. Les préoccupations en matière de sécurité sont généralement traitées en fin du cycle. Cela peut potentiellement engendrer du travail non planifié à la fin du pipeline. Secure DevOps intègre DevOps à la sécurité dans un ensemble de pratiques conçues pour atteindre efficacement les objectifs de DevOps et de sécurité.

Diagram showing Venn Diagram with one DevOps circle and one Security circle overlapping. The overlap is labeled Secure DevOps.

Un pipeline Secure DevOps permet aux équipes de développement de travailler rapidement sans compromettre leur projet en introduisant des failles de sécurité indésirables.

Notes

Secure DevOps est également parfois appelé DevSecOps. Vous pouvez rencontrer les deux termes, mais chacun fait référence au même concept.

La sécurité dans le contexte de Secure DevOps

Historiquement, la sécurité s’exerçait généralement sur un cycle plus lent et impliquait des méthodologies de sécurité traditionnelles, telles que :

  • Contrôle d’accès.
  • Renforcement de l’environnement.
  • Protection du périmètre.

Secure DevOps inclut ces méthodologies de sécurité traditionnelles et bien plus encore. Avec Secure DevOps, la sécurité concerne la sécurisation du pipeline.

Secure DevOps consiste à déterminer où ajouter la protection des éléments qui se connectent à vos pipelines de build et de mise en production.

Secure DevOps peut vous montrer comment et où vous pouvez ajouter la sécurité à vos pratiques d’automatisation, environnements de production et autres éléments de pipeline tout en bénéficiant de la vitesse du DevOps.

Secure DevOps répond à des questions plus larges, telles que :

  • Mon pipeline consomme-t-il des composants tiers et sont-ils sécurisés ?
  • Existe-t-il des vulnérabilités connues dans l’un des logiciels tiers que nous utilisons ?
  • À quelle vitesse puis-je détecter des vulnérabilités (également appelé temps de détection) ?
  • À quelle vitesse puis-je corriger les vulnérabilités identifiées (également appelé temps de correction) ?

Les pratiques de sécurité pour la détection des anomalies de sécurité potentielles doivent être aussi robustes et rapides que les autres parties de votre pipeline DevOps. Cela inclut également l’automatisation de l’infrastructure et le développement de code.