99 % des professionnels de la sécurité et des DevOps sont incapables d’identifier au moins un emplacement comportant des secrets ou des comptes à privilèges.

Les DevOps ont besoin de leur propre arsenal de sécurité. Mais la création de leur propres solutions de sécurité a ses limites, renforcées par l’accélération de la productivité et de la disponibilité des applications. Et surtout, ils ne peuvent rendre cette initiative acceptable que s’ils disposent d’équipes de sécurité offrant une approche systématisée.

Les équipes DevOps ignorent totalement que des répertoires contiennent :

  • 93 % - des accès aux environnements cloud ;
  • 89 % - des comptes à privilèges ou des secrets ;
  • 81 % - que les micro-services peuvent en contenir ;
  • 78 % - ainsi que les outils CI/CD (intégration et fourniture continues).

Ainsi, les professionnels de la sécurité et des DevOps manquent cruellement de visibilité au niveau de leur infrastructure IT. Ils ignorent notamment où sont stockés les comptes à privilèges (ou comptes à hauts pouvoirs) ainsi que les secrets de leur organisation.

  • 37 % des professionnels DevOps déclarent que le piratage de leurs outils et environnements est l’une des principales faiblesses de sécurité de leur organisation, mais bon nombre d’entre eux agissent seuls pour remédier au problème.
  • 21 % seulement des équipes de sécurité françaises indiquent qu’elles disposent d’une stratégie de sécurité des comptes à privilèges pour les DevOps.
  • Mais, pour 70 % l’intégration entre équipes reste un problème.
  • Enfin 17 % des équipes ont élaboré leur propre solution de sécurité afin de protéger et de gérer les secrets inhérents aux projets DevOps.

Ce que révèle l’enquête en référence de notre article, c’est que de nombreuses organisations ne saisissent pas la nécessité ou les mécanismes de sécuriser les secrets et les identifiants liés aux comptes à privilèges, que ce soit dans le cloud ou au niveau de chaque appareil. D’où le besoin de fusionner les outils et les pratiques inhérents aux DevOps et à la sécurité afin de protéger efficacement les informations stratégiques et confidentielles.

IG

Source : Rapport « 2018 Advanced Threat Landscape » de CyberArk

Image d’entête 666115954 @ iStock PeterHermesFurian