L’année 2017 a une nouvelle fois été synonyme de cybermenaces en nombre croissant, et de plus en plus sophistiquées, visant les entreprises. Pour poursuivre les efforts en matière de protection, les dépenses dans le domaine de la cybersécurité devraient s’élever à 82 milliards d’euros selon une étude récente. Les vulnérabilités actuelles trouvent souvent leur source dans l’adoption de nouvelles technologies. Ces dernières facilitent en effet leurs activités, en offrant aux organisations une meilleure visibilité sur leurs données et la possibilité de proposer rapidement de nouvelles offres à leurs clients. Mais cet élan vers l’innovation doit s’accompagner d’une autre stratégie tout aussi importante : la cybersécurité.

Le phénomène des DevOps attire notamment les entreprises des quatre coins du monde depuis maintenant deux ans. Cependant, la nécessité de concevoir et de déployer rapidement de nouveaux processus, services et applications a également son revers de médaille : la cybersécurité est bien souvent négligée, pour garder l’avantage sur la concurrence grâce à l’optimisation de la productivité. De plus, les équipes DevOps travaillent généralement de façon isolée. De fait, selon le rapport Advanced Threat Landscape 2018, 79 % des employés français indiquent que leur organisation ne dispose d’aucune stratégie de sécurisation des comptes à privilèges – ou comptes administrateurs – au niveau des DevOps, ce qui multiplie les vulnérabilités susceptibles d’être exploitées par les cybercriminels.

Les réseaux d’une entreprise peuvent parfois ressembler à un labyrinthe, et ce de manière inquiétante. On pourrait parler d’une « mosaïque organisationnelle », composée de différents éléments assemblés pour former un tout : automatisations de tests, conteneurs, orchestrations, déploiements, ou encore évaluations ; la liste est longue. Différents niveaux de contrôle et d’accès sont assignés à chaque élément, surtout pour les identifiants à privilèges. Les cybercriminels n’ont plus qu’à trouver les failles inhérentes à la mauvaise sécurisation et à les exploiter.

En outre, les équipes DevOps sont constamment à l’affût de nouveaux moyens pour innover afin de travailler plus rapidement, ce qui est très bénéfique pour leurs employeurs, à condition d’être fait correctement. En effet, télécharger des outils depuis internet peut se révéler dangereux pour les données de l’entreprise et plus encore sa propriété intellectuelle. Cependant, la fréquence des changements dans ces environnements, une fois qu’ils ont été promus au sein des organisations, peut également compliquer l’arrêt de ces processus et outils. Dès lors, les organisations disposent de trois éléments pour pallier les vulnérabilités :

Coordonner les DevOps et la sécurité

Quasiment deux tiers des équipes DevOps et de sécurité indiquent que leurs services ne collaborent pas assez. De nombreux spécialistes DevOps ont donc décidé de prendre les choses en main. Pour preuve, presque un cinquième d’entre eux aurait conçu sa propre solution de sécurité afin de protéger et contrôler les secrets inhérents à leurs projets. Bien qu’il s’agisse d’un pas dans la bonne direction, il serait préférable de renforcer la coopération afin que les entreprises soient correctement protégées ; ainsi que de veiller à plus d’uniformité entre le développement de nouveaux outils et leur déploiement à l’ensemble de l’organisation.

Reprendre le contrôle des identifiants

Face au nombre d’outils disponibles actuellement dans une organisation, il est essentiel d’identifier tous les droits d’accès associés et de les centraliser dans un registre de secrets. Il est ainsi beaucoup plus facile et rapide de gérer et de contrôler les connexions.

Opter pour l’automatisation

Les organisations doivent évaluer comment l’automatisation peut les aider à faire face à l’évolution constante des processus internes et aux innombrables menaces externes. Il est possible de renforcer la protection lors du déploiement de toute nouvelle innovation – qu’il s’agisse d’un outil, d’un processus ou d’une application – en mettant en place des processus cohérents, reproductibles et mesurables.

Il est finalement important de rappeler aussi que tout ne repose pas sur les épaules des équipes chargées des DevOps et de la sécurité ; c’est aux responsables Métier que revient la responsabilité de définir des lignes conductrices claires et de mettre en place des mesures de sécurité adaptées, qui éviteront qu’un utilisateur ne puisse ouvrir une porte aux cybercriminels. En outre, tous les utilisateurs pertinents, tels que les équipes DevOps, la sécurité, l’IT en général, mais aussi celles en charge des aspects légaux et de la conformité, doivent coordonner leurs activités et définir une stratégie commune. Bien que cela soit plus facile à dire qu’à faire, puisque chaque département a ses propres priorités, chacun doit comprendre que l’objectif absolu est aujourd’hui d’enrayer la cybermenace croissante. La balle est donc désormais dans le camp des entreprises, afin que la ruée vers l’innovation ne se transforme pas en concours de vulnérabilités !