75 % des professionnels DevOps affirment que les politiques d'émission de certificats ralentissent leur travail

Par:
fredericmazue

ven, 13/12/2019 - 14:46

Venafi a présenté les résultats d'une étude portant sur les politiques de sécurité liées aux certificats numériques dans les environnements DevOps. L'étude a sondé l'opinion de 108 professionnels ayant participé à la conférence DevOps Enterprise Summit 2019 (DOES19) à Las Vegas (Nevada).

Selon l'étude Venafi, 75 % des professionnels DevOps sont préoccupés par le fait que les politiques d'émission de certificats ralentissent le développement, et plus d'un tiers (39 %) considèrent que les développeurs devraient être capables de contourner ces politiques pour répondre aux accords de niveau de service. En outre, moins de la moitié (48 %) des personnes interrogées estiment que les développeurs de leur entreprise emploient toujours les méthodes et les canaux approuvés par l'équipe de sécurité pour obtenir les certificats servant d'identités machine.

Les clés et les certificats cryptographiques servent d'identités machine et assurent l'authentification et les communications sécurisées des applications, des conteneurs de service et des API sur les réseaux d'entreprise, Internet et les environnements cloud. L'emploi de clés et de certificats faibles ou non autorisés peut accroître de manière significative les risques de sécurité, en particulier dans les environnements cloud. Les développeurs utilisent des identités machine non sécurisées, notamment des certificats émis par des autorités de certification (CA) non autorisées ainsi que des certificats autosignés ou génériques, car les processus d'émission de certificats sont jugés trop fastidieux. Malheureusement, les équipes de sécurité ne disposent donc d'aucune visibilité et les risques organisationnels augmentent, en particulier lorsque les vulnérabilités ou les erreurs des clés et des certificats touchent les environnements de production.

« Le DevOps est axé sur la rapidité, mais cette étude illustre le fait que les développeurs jugent souvent lentes les politiques de sécurité », indique Kevin Bocek, vice-président du département de sécurité et d'analyse des menaces de Venafi. « Les professionnels de la sécurité n'ont malheureusement pas conscience des risques que les processus DevOps font courir à leur entreprise. En définitive, les équipes de sécurité doivent simplifier l'utilisation des identités machine par les développeurs : il doit être plus simple et rapide de les protéger que de contourner la politique. Dans le cas contraire, ces problèmes continueront de connaître une croissance exponentielle. Les organisations qui recourent aux processus DevOps ont besoin de visibilité, d'intelligence et d'automatisation pour protéger leurs identités de machine. »

Pour plus d'informations, suivez ce lien.