DevOps : la sécurité sacrifiée sur l’autel de la vitesse ?

Ariane Beky,

Les équipes DevOps identifient des vulnérabilités avant le déploiement applicatif, cependant des problèmes persistent en production.

L’intégration de la sécurité à l’approche DevOps (développement et opérations IT) progresse. Les équipes parviennent à identifier de nombreuses vulnérabilités avant le déploiement de programmes logiciels. Toutefois des problèmes persistent en production.

C’est en tout cas le point de vue défendu par Fortinet, enquête* à l’appui. Ainsi, 92% des organisations interrogées dans un récent rapport du fournisseur de solutions de sécurité ont identifié au moins une vulnérabilité en production au cours des 12 derniers mois. La moyenne étant de 3 à 5 failles logicielles repérées par entité sur la période.

Par ailleurs, si la surveillance informatique 24/7 par le biais d’un centre d’opérations de sécurité (SOC) monte en puissance, 14% seulement des équipes disent avoir une visibilité étendue de leur environnement DevOps à partir d’un SOC. Ce n’est pas le seul souci.

Sécurité vs. Business

Accélérer la fréquence de livraison de projets applicatifs et de microservices pour mieux répondre aux attentes des métiers, n’est pas sans risque.

Aussi, selon une autre étude menée en 2018 (Threat Stack), 52% des organisations ont reconnu avoir privilégié l’atteinte d’objectifs commerciaux plutôt que le strict respect de mesures de sécurité IT. Le plus souvent sous la pression des directions générales.

Dans ce contexte, les responsables de la sécurité des systèmes d’information (RSSI) cherchent à (re)prendre la main. Selon Fortinet, 70% des organisations prévoient d’attribuer au RSSI la responsabilité du contrôle de la sécurité du DevOps dans un proche avenir.

Or, selon une troisième enquête de 2018 (CyberArk), 73% des organisations n’avaient pas déployé de solutions pour sécuriser des comptes à privilèges en environnement DevOps.

*L’enquête a été menée auprès de responsables DevOps et IT impliqués dans l’achat de solutions de sécurité. Leurs entreprises emploient plus de 2500 collaborateurs. (source : Fortinet – 2019 State of DevOps Security Report).

(crédit photo © shutterstock)