6 recommandations pour passer au DevSecOps

Les principaux objectifs de l’automatisation : productivité, rapidité & sécurité

Les entreprises voient dans l’automatisation le moyen d’accroître la productivité, la rapidité d’exécution et la possibilité de revenir à des versions antérieures en cas de failles de sécurité liées au code.

Parmi les incidents de sécurité, les causes avancées sont diverses, retenons :

• Le manque de sensibilisation de l’organisation IT
• Le manque d’adoption des bonnes pratiques de gestion des problèmes par les DSI
• Le manque de formalisme des retours d’expériences
• La rareté des boucles de rétroaction des équipes Ops vers les équipes Dev

2/3 des entreprises n’intègrent pas la sécurité dans la phase de développement

Et ceci, est principalement dû au manque de ressources et de compétences (66 %) et de budget (45 %). 67 % des équipes de sécurité n’interviennent que ponctuellement dans le cycle applicatif.

Les avantages d’une démarche de Security by Design, ou DevSecOps sont mis en avant, notamment pour le respect des exigences de sécurité / conformité, la prévention active de la cybercriminalité et la réduction du nombre d’incidents post-déploiement.

Les 6 recommandations orientées « DevSecops »

• Sensibiliser et former les équipes opérationnelles aux risques de sécurité et aux bonnes pratiques
• Penser Security by Design : sécurité́ intégrée dans le cycle applicatif
• Standardiser le recueil d’exigences de sécurité
• Automatiser les tests de sécurité
• Systématiser les tests d’intrusion :

automatiser au maximum les tests de sécurité́, prendre en compte les recommandations et mesures correctives (rapport d’audit)

• S’appuyer sur des équipes dédiées à la cybersécurité :

avec des sociétés spécialisées pour des audits externes

Source Micro Focus – 2000 décideurs informatiques – France