Beaucoup d’outils de développement intègrent des fonctionnalités pour protéger les données sensibles, les secrets d’application. Néanmoins, la coexistence de plusieurs solutions disparates ne facilite pas la tâche aux développeurs, demandeurs de plus d’homogénéité.
Les applications doivent fréquemment traiter des données sensibles, comme des mots de passe ou des clefs d’API. La protection de ces données doit être prévue dès le développement : c’est l’objectif de la gestion de ces secrets d’application, qui fait partie intégrante des approches de sécurité « by design ». Un livre blanc de CyberArk, fournisseur de solutions de sécurité, s’est intéressé aux différentes approches existantes à l’heure actuelle pour protéger ces secrets.
Des développeurs en première ligne pour la sécurité applicative
Premier constat : avec l’essor des approches DevOps, qui visent à livrer du code plus rapidement et à grande échelle, le nombre de secrets à gérer se multiplie. Comme le rappelle CyberArk, même si l’élaboration des règles de cybersécurité incombe aux équipes du RSSI, « ce sont les développeurs qui sont en première ligne pour coder, tester et créer les applications – et sécuriser les secrets. »
Beaucoup de technologies et de plateformes utilisées dans les approches DevOps proposent des fonctionnalités intégrées de gestion des secrets : c’est notamment le cas de Docker, Puppet, Kubernetes et Ansible, ou encore des clouds AWS et Azure. Néanmoins, ces outils ne sont pas compatibles entre eux. Chacun adopte en effet une approche différente en matière de sécurité et utilise une API différente, ce qui complique le travail du développeur. « À mesure que les exigences changent et que de nouveaux outils sont introduits, les développeurs devront probablement relever le défi de l'intégration des outils, ainsi que de la gestion et du partage des secrets sur ces systèmes disparates », prévient CyberArk.
Absence d’une politique globale de gestion de ces outils
Une autre source de difficultés pointée dans le livre blanc est la confusion qui règne souvent en matière de propriété des différents outils. Les plateformes de gestion des secrets sont souvent achetées par diverses équipes et à plusieurs niveaux de l'organisation, sans qu'aucun groupe n’ait la responsabilité de la prise de décision et des budgets au niveau global. Au niveau de chaque équipe, cette confusion entraîne une implication plus faible que souhaitée en matière de sécurité. Ainsi, l’enquête de CyberArk révèle que seules 41 % des équipes de sécurité et de DevOps interviennent tout au long du processus de développement d'applications. Pour une gestion plus efficace de la sécurité, l’ensemble des équipes doivent collaborer : développeurs, Ops et sécurité doivent être impliqués à égale mesure dans le choix d’une solution.
Les obstacles à la mise en place d’une approche unifiée
Pour 80% des répondants, homogénéiser les différentes approches est essentiel. 60 % jugent également important, ou très important, de disposer d'un fournisseur d'accès à privilèges, ou de gestion des identités, capable de prendre en charge la gestion des secrets pour leur pipeline DevOps. Toutefois, ces bonnes pratiques ne sont pas la norme, puisque seuls 24 % des répondants ont déclaré utiliser actuellement un outil unifié. L’étude identifie quatre grands obstacles à cette normalisation des approches :
- les contraintes budgétaires,
- des solutions de gestion des secrets en constante évolution,
- des équipes de sécurité qui ne comprennent pas suffisamment les DevOps,
- des processus de décision fragmentés.
Source : livre blanc CyberArk : « Gérer les secrets d’applications – Que veulent vraiment les développeurs ? »
