5 minutes de lecture

Vous avez certainement entendu parler du DevOps, mais quid du DevSecOps ? Le concept de DevSecOps consiste à faire de la sécurité logicielle une partie intégrante du processus global de déploiement applicatif.

Pour saisir l'importance de cette approche, il faut d'abord se pencher sur les anciens concepts de sécurité logicielle. Traditionnellement, tout ce qui concernait la sécurité des applications était traité séparément des autres processus de développement. Les développeurs écrivaient du code, tandis que les équipes IT le déployaient sans trop penser à sa sécurité. Ce n'était qu'une fois le logiciel en production que les ingénieurs sécurité recherchaient des vulnérabilités dans le code ou les environnements d'hébergement.

Or, cette approche de la sécurité logicielle s'avérait particulièrement inefficace, surtout dans les environnements cloud où les déploiements sont fréquents. En cas de problème de sécurité, il fallait souvent retirer dans l'urgence le code concerné, réduisant à néant tous les efforts de développement préalables. En outre, il n'était pas rare que ces problèmes ne soient détectés qu'une fois l'application en production, au risque d'exposer les entreprises concernées aux menaces de sécurité.

Pour éliminer ces problèmes, le DevSecOps s'inscrit dans une stratégie de sécurité « shift left » qui consiste à intégrer la sécurité à tous les stades du processus de déploiement logiciel. Ainsi, les développeurs écrivent du code sans jamais perdre de vue l'aspect sécurité, tandis que les applications sont testées avant leur déploiement pour détecter d'éventuels problèmes dans ce domaine. Quant aux équipes IT, elles disposent de tous les moyens nécessaires pour résoudre ces problèmes rapidement en cas de détection post-déploiement.

Le DevSecOps, une émanation directe du DevOps
Le DevSecOps n'est pas une alternative au DevOps. Il élargit simplement le principe clé du modèle DevOps – l'idée selon laquelle les développeurs et les équipes IT doivent collaborer étroitement au lieu de travailler en vase clos – aux équipes de sécurité. Une stratégie DevSecOps réussie consiste donc à adopter le DevOps et à intégrer la sécurité à tous les stades du pipeline de développement CI/CD.

DevSecOps : une culture plus qu'un outil
De nombreux outils et processus peuvent aider une entreprise à adopter le DevSecOps. Toutefois, ce concept n'en désigne aucun en particulier. Il s'apparente en fait à une culture.

Le DevSecOps revient à instaurer une nouvelle philosophie dans l'organisation. Les développeurs, les équipes IT, les professionnels de la sécurité et tous les autres acteurs impliqués dans le déploiement logiciel doivent élever la sécurité des applications au rang de priorité. Avant toute décision liée à une application, l'ensemble de votre équipe doit envisager les répercussions sur sa sécurité. Si c'est le cas, vous aurez négocié avec succès le virage du DevSecOps.

Implémentation du DevSecOps
Le meilleur moyens - ou la meilleure combinaison de moyens - de mettre en œuvre une stratégie DevSecOps dépendront de vos besoins. De manière générale, vous avez le choix entre plusieurs pistes pour l'implémentation d'une culture DevSecOps dans votre entreprise.

  • Sensibilisation : veillez à ce que tous les acteurs impliqués dans le déploiement applicatif comprennent les menaces de sécurité actuelles et l'importance de leur neutralisation.

  • Communication : mettez en place des canaux de communication efficaces entre tous vos collaborateurs pour leur permettre de partager rapidement toute information utile sur d'éventuels problèmes de sécurité.

  • Playbooks de sécurité : développez des « playbooks » qui indiquent aux différents collaborateurs la réponse à apporter à un type d'incident de sécurité donné.

  • Adoption des bons outils : privilégiez des outils de sécurité cloud basés sur des API qui vous permettront d'automatiser l'application de vos politiques de sécurité et de conformité dans le cloud.

Faites des développeurs des alliés de votre sécurité
Lors de l'implémentation d'une stratégie DevSecOps, ce sont généralement les équipes de développeurs qui sont les plus réticentes. Reste donc à savoir comment convaincre les réfractaires de l'importance de la sécurité, intégrer cette nouvelle composante à leurs domaines de responsabilité, puis les former en conséquence.

Pour impulser votre transformation DevSecOps, il vous faut les bons outils. Grâce à des outils qui exploitent les API de fournisseurs cloud pour automatiser vos politiques de sécurité, les développeurs peuvent se former petit à petit et éviter de graves erreurs. Vous pouvez utiliser des outils cloud-native pour automatiser les politiques dans AWS. Toutefois, en cas de déploiement multicloud, de cadre règlementaire strict ou d'environnement AWS couvrant de multiples comptes, vous aurez certainement besoin d'un outil tiers pour agir efficacement et centraliser la gestion de vos politiques. Pour savoir comment sélectionner un outil adapté, lisez cet article de blog.

Pour découvrir comment DHI Group est parvenu à instaurer une culture DevSecOps, lisez son témoignage dans un article intitulé « Mariage du DevOps et du SecOps autour du DevSecOps ».

Feuille de données

Prisma Cloud : En bref

Prisma™ Cloud est la plateforme de sécurité cloud-native la plus complète du marché.

  • 1217

rc.type.book

Portefeuille Palo Alto Networks : le guide

Sécurité et complexité ne font pas bon ménage. C'est pourquoi les produits Palo Alto Networks ont été conçus dans une optique de simplicité et d'efficacité. Vos équipes de sécurité ont ainsi toutes les cartes en main pour prévenir les menaces en amont, neutraliser les attaques en cours et sécuriser votre entreprise, votre environnement cloud et votre avenir.

  • 514

Feuille de données

Prisma Cloud Compute Edition : en bref

Prisma™ Cloud Compute Edition offre aux entreprises une plateforme de protection complète des workloads cloud (hôtes, containers, déploiements sans serveur, etc.) dans n’importe quel cloud et tout au long du cycle de vie applicatif.

  • 368

Feuille de données

Prisma Cloud pour Microsoft Azure

Prisma™ Cloud (anciennement RedLock) est un service de conformité et de sécuritéqui recherche de manière dynamique les modifications des ressources du cloud et met continuellement en corrélation les sources de données brutes et compartimentées, y compris l’activité des utilisateurs, les configurations des ressources, le trafic du réseau, la Threat Intelligence et les flux relatifs aux vulnérabilités, afin de fournir une vision complète des risques du cloud public. Grâce à une approche novatrice basée sur le machine learning, Prisma permet aux entreprises de définir rapidement un ordre de priorité des risques, de préserver un développement agile et de satisfaire efficacement aux obligations du modèle de responsabilité partagée.

  • 424

Feuille de données

Prisma Cloud pour GCP

Prisma™ Cloud (anciennement RedLock) est un service de conformitéet de sécurité qui recherche les modifications des ressources du cloud et met continuellement en corrélation les sources de données brutes et compartimentées, y compris l’activité des utilisateurs, les configurations des ressources, le trafic du réseau, la Threat Intelligence et les flux relatifs aux vulnérabilités, afin de fournir une vision complète des risques du cloud public. Grâce à une approche novatrice basée sur le machine learning, Prisma permet aux entreprises de définir rapidement un ordre de priorité des risques, de préserver un développement agile et de satisfaire efficacement aux obligations du modèle de responsabilité partagée.

  • 339

Feuille de données

Prisma Cloud : gestion de la sécurité du cloud – Fiche technique

Prisma™ Cloud réduit la complexité et protège les ressources des environnements hybrides et multi-cloud.

  • 75

Entreprise

MENTIONS LÉGALES

Compte

  • Facebook
  • Linkedin
  • Twitter
  • Youtube

Copyright © Palo Alto Networks 2021. Tous droits réservés.