La sécurité informatique est devenue un enjeu majeur pour des organisations. Mais pour toutes ! Et tous les métiers n’appliquent pas les règles essentielles faute de budget et de compétences en interne. C’est le constat du Premier Observatoire des Directeurs et Responsables Informatiques sur l’adoption de la sécurité dans leurs initiatives DevOps lancé par Micro Focus.

Conception applicative, code mal sécurisé, configuration des infrastructures ou encore absence de chiffrement des informations permettant à l’utilisateur de s’authentifier : les failles de sécurité peuvent se trouver à différentes étapes.

Pour les organisations informatiques engagées dans l’adoption des pratiques DevOps, le schéma est aujourd’hui modifié : on évoque désormais une évolution vers des pratiques « DevSecOps » : l’enjeu est désormais d’intégrer la sécurité de façon continue sur l’ensemble du cycle de vie des applications.

Cette politique proactive implique donc de multiplier les tests d’intrusions et les scans du code afin de déceler les potentielles vulnérabilités et les corriger dès que possible. Car les incidents de sécurité ne sont pas rares.

01

C’est la principale leçon à retenir de cette étude menée au premier trimestre 2019, en France, auprès des décideurs informatiques de grandes entreprises principalement. 18 questions clés ont été posées pour mesurer l’état d’adoption de l’initiative DevSecOps à plus de 2000 professionnels.

Avec la montée en puissance des méthodes agiles, la sécurité informatique est désormais une responsabilité partagée notamment avec les équipes informatiques qui gèrent le cycle de vie des produits.

« Concrètement, cela se traduit par des démarches de conduite du changement, qui se matérialisent sous la forme de sensibilisation, coaching et communications internes auprès des collaborateurs de la DSI. L’accent est porté sur la nécessité de pousser l’automatisation de ces tâches au maximum », insiste Micro Focus.

Mais il convient de renforcer la sécurité des données et notamment celles hébergées dans le cloud. À tort, de nombreuses organisations considèrent que le cloud offre plus de sécurité. C’est une erreur d’appréciation. Les fournisseurs dans le cloud ont le « beau rôle » en ne sécurisant que certains aspects. Mais c’est à leurs clients que revient le principal travail de protection des données.

Or, elles ne le font pas ! Selon le rapport de RedLock (Redlock Cloud Threat Defense, mai 2018), plus de la moitié des entreprises n’ont pas sécurisé efficacement leurs services Cloud de stockage en 2017, et ont subi en conséquence une fuite ou un vol de données stockées.

L’entrée en application de différentes réglementations ainsi que le RGPD incitent les entreprises à revoir leur culture en matière de gouvernance des données. Comme la cybersécurité, la confidentialité des informations nécessite une approche globale et de la prévention.

02

Mais cette attitude DevSecOps est loin d’être généralisée selon cette étude et celle de Sonatype. Faute de moyens financiers et humains… C’est pourtant l’assurance de renforcer sa sécurité et sa conformité.

03

Source : Microfocus.com