Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Internet : Cybersécurité & DevOps en 2018 : l’année du changement ?
Posté par JulieM le 17/1/2018 13:00:00 Articles du même auteur

Le début de l’année 2018 commence fort en matière de cybermenaces avec la découverte des vulnérabilités Meltdown et Spectre visant les processeurs Intel. Une nouvelle preuve, s’il en fallait, que si les attaques mondiales WannaCry et NotPetya survenues l’an passé ont sensibilisé, elles n’ont toutefois pas permis d’éradiquer les mauvaises pratiques.

Or, la théorie est toujours plus aisée que la réalité, et la faille Intel démontre que la vulnérabilité n’est décidément jamais où on l’attend et que les cyberpirates continuent de garder une longueur d’avance.

Dans ce contexte d’hypersensibilisation, Elizabeth Lawler, Vice President of DevOps Security, chez CyberArk, estime qu’au niveau des DevOps – soit le mélange des tâches qu'effectuent les équipes d'une entreprise chargées du développement des applications et de l'exploitation des systèmes[1] – trois tendances domineront l’année 2018 :

« Tout d’abord, l’attaque contre Uber ne sera pas la dernière. En effet, bien qu’elle ait fait la une des media, cette faille n’aurait pas dû étonner autant : les données de 57 millions de clients ont été piratées car les développeurs de l’entreprise exposaient des secrets au sein de solutions de stockage de codes publiques.

Cela a notamment permis aux hackers d'accéder aux comptes à privilèges d’Uber. La raison de cette pratique sensible ? Il n'existe tout simplement pas de moyens simples et sécurisés pour que les différents départements d’une entreprise collaborent.

De nombreuses organisations ne parviennent ainsi pas à sécuriser les activités des spécialistes DevOps, ce qui provoque des tensions et des vulnérabilités. Les développeurs ne sont pas, et ne devraient pas, être des employés chargés de la sécurité. Ils sont en effet responsables des caractéristiques et des fonctionnalités, et non de la gestion de la collaboration et de la sécurisation des identifiants.

Une étude récente de CyberArk indique que la plupart des organisations françaises ne connaissent pas tous les lieux et les outils dans lesquels les identifiants sont stockés. Ces entreprises sont par conséquent très vulnérables, et plus de 79 % d’entre elles n'ont aucune stratégie pour y remédier. C’est pourquoi il est fort probable que les attaques continueront d’aboutir en 2018, et au-delà.

L’échec est évident lorsqu’on demande à un employé de gérer la sécurité, alors que cela ne fait pas partie de ses prérogatives et qu'il ne possède pas d'expérience en la matière. L'automatisation a cependant un rôle clé à jouer dans l'amélioration de la sécurité, en l’intégrant à l'expérience native des développeurs.

En outre, l’attaque d’Uber n'aurait pas dû être si singulière car de nouvelles recherches indiquent que l’entreprise est loin d’être un cas isolé, avec 62 % des organisations françaises qui n’auraient pas informé leurs clients de la compromission de leurs données personnelles lors d'une cyberattaque. Quoiqu’alarmant, ce constat n’est pas surprenant.

Cette année, les spécialistes DevOps seront de plus surchargés et nous constaterons un nouveau manque de talents DevSecOps. Les organisations se tournent ainsi de plus en plus vers les workflows DevOps pour atteindre une rapidité d’exécution et d’innovation. Elles ne sont cependant pas préparées ou dotées du personnel adéquat pour gérer la sécurité de ces environnements.

2018 verra donc un manque critique de spécialistes DevSecOps – qui intègrent la cybersécurité tout au long du cycle de vie d’une application – alors même que la protection devient une priorité pour les entreprises. Actuellement, beaucoup d’entre elles la confient déjà aux spécialistes DevOps, en sus des nombreuses responsabilités qui leur incombent, et ce malgré leur manque d’expérience en la matière.

Mais cela doit cesser, surtout si on considère l'augmentation de la surface d’attaque étendue dans les workflows DevOps, ainsi que les risques associés à la gestion des scripts, des plateformes et des systèmes utilisés dans les workflows automatisés.

Les experts DevSecOps sont donc très demandés, et les profils manqueront en 2018, puisque les organisations réalisent que même si elles ont les bons outils, elles n'ont pas nécessairement les bonnes personnes pour les gérer. La sécurité deviendra un travail à temps plein, axé sur les workflows DevOps, et il y aura peu de personnes disponibles pour mener à bien ces missions.

Enfin, en 2018, le moindre privilège fera peau neuve dans l’univers DevOps. Les entreprises commencent en effet à comprendre que « l’identité » n'a, jusqu’ici, pas été complètement prise en compte ; il n'y a pas de standard commun pour l'identité machine, le contrôle et la gestion des accès, ou encore l'audit sur l’ensemble des composants de la plateforme.

Les organisations sont donc aussi vulnérables que leur élément le plus faible. Ce dernier peut être une machine virtuelle, un conteneur ou l'une des dizaines de couches de plateforme qui existent désormais sur un réseau. Et lorsque ces matrices s’étendent, elles deviennent beaucoup plus difficiles à contrôler.

Par conséquent, la cybersécurité nécessite une définition plus précise de l'identité machine dans les systèmes hautement automatisés, qui transportent des données de plus en plus sensibles. Dès l'année 2018, les concepts précédemment utilisés dans la gestion de l'accès humain, seront appliqués aux machines de manière significative.

En forçant les spécialistes DevOps à poser aux machines la question "qui êtes-vous, qu'est-ce que vous êtes et que souhaitez-vous ?", et ce y compris dans l'environnement DevOps, les organisations pourront appliquer de meilleures pratiques de sécurité et limiter les activités des machines, sans compromettre pour autant les opérations.

Cela permettra une véritable responsabilisation de la sécurité des environnements DevOps, et le processus de livraison continue du moindre privilège des DevSecOps pourra devenir une réalité. »

Elizabeth Lawler, Vice President of DevOps Security chez CyberArk

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité