Gestion des secrets : pourquoi les équipes DevOps sont à la peine

Identifiants à privilèges, mots de passe, certificats, clés API, clés SSH et de chiffrement… Les secrets exposés dans les pipelines DevOps d’intégration et déploiement continus (CI/CD) impactent une majorité d’entreprises. Forrester a mené une enquête pour ThycoticCentrify.

Près de 400 développeurs, chargés d’équipes de développement et responsables de gestion des identités et des accès (IAM) ont été interrogés*.

5% seulement des décideurs concernés déclarent que la plupart des équipes utilisent les mêmes processus et outils de gestion des secrets. Cette dispersion fragilise les entreprises.

En outre, 57% des managers déclarent que leur organisation a subi au moins un incident de sécurité lié à des secrets révélés par des processus DevOps non sécurisés ces 24 derniers mois. Et 62% s’attendent à ce que la fréquence de ces incidents s’accélère à moyen terme.

Invisible Dev(Sec)Ops ?

L’équilibre à trouver entre sécurité et rapidité des déploiements applicatifs reste un défi.

Comment réduire les risques cyber et les tensions entre responsables IAM et développeurs ?

Centraliser (71%) et intégrer (76%) la gestion automatisée des secrets dans des outils que les développeurs utilisent déjà est l’approche privilégiée par le management.

Il s’agit, explique Forrester, de « rendre le processus presque invisible pour les développeurs ».

« Nous ne devrions pas nous attendre à ce que les équipes DevOps deviennent des experts en sécurité », insiste la société d’analystes de marché.

*_{227 responsables IAM ainsi que 160 développeurs et leurs managers ont répondu au sondage. Ils sont employés dans des ETI et de grands groupes. Où ? Amérique du Nord, région EMEA, Asie-Pacifique.}

_{(crédit photo via VisualHunt)}