Le DevSecOps, un passage obligé pour la sécurité des identités

En effet, selon la dernière étude CyberArk, 100 % des Français interrogés pensent que leur entreprise sera victime d’une compromission liée aux identités. C’est pourquoi cette protection doit intervenir dès le début du développement des applications utilisées, bien avant leur déploiement. Cette approche, appelée DevSecOps, nous est expliquée par John Walsh, Principal Developer Security Expert chez CyberArk dans cet entretien.

Il est de plus en plus important d’intégrer la sécurité au cycle DevOps. Quelles en sont les raisons, et comment les professionnels du DevSecOps répondent-ils à cette exigence ?

Compte tenu de la rapide explosion des vulnérabilités liées au code, les équipes de sécurité craignent que les développeurs créent des logiciels présentant des failles facilement exploitables par des cybercriminels. Or, s’ils comprennent la nécessité de mettre en œuvre des pratiques de codage sécurisées, les développeurs n’en font pas toujours une priorité, dans la mesure où cette précaution risque de ralentir la disponibilité de nouvelles applications.

Finalement, la sécurité représente une démarche vitale pour l’ensemble du processus DevOps. Le DevSecOps répond à ce besoin en intégrant la sécurité à chaque étape du processus de développement, l’objectif étant de parvenir au juste équilibre entre, d’une part, un rythme élevé et, d’autre part, la sécurité des identités. Il est tout à fait possible que les développeurs ne se rendent pas réellement compte des vulnérabilités potentielles qui, d’un bout à l’autre de la supply chain, peuvent avoir des répercussions sur leur entreprise. C’est pourquoi il est essentiel d’intégrer la sécurité des identités au plus tôt afin d’empêcher les attaquants de saisir la moindre possibilité de passer à l’acte, que ce soit dans les applications ou de l’infrastructure déployée.

L’expression Shift Security Left est souvent associée au DevSecOps. Que signifie cette formule et pourquoi est-elle si importante ?

La traduction littérale de cette expression, « déplacer la sécurité vers la gauche », signifie qu’il est recommandé d’adopter les bonnes pratiques de sécurité « en amont », dès les premières étapes du cycle de vie DevOps — l’objectif étant de détecter au plus tôt toute vulnérabilité afin de disposer de plus de temps pour y remédier. En d’autres termes, la sécurité est déplacée « vers la gauche » dans le calendrier du processus de développement, faute de quoi les développeurs lancent en production des logiciels non sécurisés, avec pour conséquences des pertes sur le plan financier, un surplus de travail s’il faut apporter en urgence des corrections de dernière minute, et un allongement des délais de livraison. Prenons l’exemple d’une maison : une fois construite, il est relativement compliqué de lui apporter des modifications, car si l’on peut facilement déplacer la salle de bains sur un plan, l’exercice est bien plus difficile lorsque la robinetterie est déjà raccordée !

Quels sont les principaux défis auxquels sont confrontées les entreprises séduites par une culture DevSecOps ?

Compte tenu du nombre croissant d’outils d’automatisation mis à la disposition des équipes DevOps et de l’explosion des identités machine, qui vont de pair avec l’automatisation des tâches de développement, il est parfois difficile de gérer correctement la sécurité. Par exemple, les outils d’intégration et de livraison continues (CI/CD) sont les plus gros consommateurs de secrets ; ils peuvent en outre accéder à de nombreuses ressources sensibles, qu’il s’agisse d’applications et services, ou d’informations telles que des bases de données confidentielles. Or, plus le nombre de secrets augmente, plus leur stockage, leur transmission et leur audit en toute sécurité posent problème. Et s’il leur arrive d’intégrer une fonction de sécurisation des secrets, les outils, plateformes et infrastructures sont pénalisés par leur manque d’interopérabilité, ce qui peut se traduire par le cloisonnement des opérations de sécurité des identités et complique leur suivi, leur gestion et l’audit de leur efficacité.

Quel conseil donneriez-vous à une entreprise qui souhaite évoluer de manière fluide et efficace d’un modèle DevOps traditionnel vers le DevSecOps ?

In fine, l’intégration d’un modèle DevSecOps est une question de personnes et de culture, deux éléments dont la transformation nécessite du temps, une communication transparente, de l’empathie et un soutien au plus haut niveau. Il s’agit de comprendre comment fonctionnent les différentes équipes et quelles sont les compétences nécessaires pour combler le fossé.

La nomination d’un « garant de la sécurité » au sein de chaque équipe de R&D est une mesure que les entreprises peuvent prendre pour évoluer en toute transparence et avec efficacité. Cet expert concentrera les efforts sur l’atténuation des vulnérabilités et des problèmes potentiels tout en maintenant une communication permanente avec les autres intervenants tout au long du processus de développement. Ainsi, ces « champions » peuvent se rencontrer et échanger leurs meilleures bonnes pratiques en vue de les partager avec leurs équipes respectives.

S’agissant de l’engagement des développeurs, les équipes en charge de la sécurité des identités doivent également repenser leur approche. Il est utile d’encourager les équipes de développement à « penser » comme des attaquants pour mieux anticiper les problèmes potentiels, mais encore plus important d’appréhender la sécurité des identités dans l’optique de son succès global. C’est ainsi que les employés comprendront que le projet de cybersécurité risque d’échouer s’ils ne respectent pas les bonnes pratiques. En résumé, les entreprises doivent absolument sensibiliser leurs équipes de développement aux attaques provenant de vulnérabilités logicielles et de pratiques de codage non sécurisées qui surviennent au cours du cycle DevOps.