3 mesures pour que l’accélération des projets DevOps ne nuise plus à la sécurité

Pour que le DevOps allie rapidité et sécurité, il est nécessaire de penser : automatisation, visibilité et intégration de la production des clés et certificats de chiffrement.

Principaux atouts de la démarche DevOps

  • Elle s’efforce de raccourcir les temps de réponse, d’accroître la satisfaction client et d’optimiser l’efficacité opérationnelle.
  • Pour satisfaire au modèle Fast IT, elle se passe pourtant du chiffrement dans bien des cas, la production manuelle de clés et de certificats étant source de lenteur.
  • Il n’est pas nécessaire de faire une croix sur la sécurité pour accélérer les projets DevOps.
  • L’automatisation, la visibilité et l’intégration des étapes de production de clés et de certificats sécurisent la démarche DevOps au rythme des activités.

Le monde numérique fait évoluer la façon dont les entreprises travaillent avec leurs clients, leurs partenaires et leurs collaborateurs. Cette transformation numérique exploite la vitesse, l’agilité et l’innovation de la démarche DevOps pour tirer profit des débouchés commerciaux et créer un avantage concurrentiel dans l’économie des applications. Cependant, la sécurité des informations est la grande absente de cette approche, car elle est considérée comme un frein. Or, la rapidité n’est pas incompatible avec la sécurité.

Les avantages professionnels du DevOps

L’adoption de la démarche DevOps s’accompagne d’avantages indiscutables pour l’entreprise :

  1. Temps de réponse améliorés permettant de s’adapter plus rapidement aux évolutions du marché ou des exigences de la clientèle. Les entreprises ayant adopté la méthodologie DevOps ont raccourci leur cycle de commercialisation de 20 %.
  2. Satisfaction client accrue grâce aux mises à jour fréquentes des produits en réponse au flux incessant de commentaires des utilisateurs.
  3. Efficacité opérationnelle renforcée à travers l’automatisation, incitant ainsi plus de 60 % des entreprises à adopter une démarche DevOps.

Les raisons du manque de sécurité du DevOps

Alors pourquoi est-il si difficile de mettre en œuvre de bonnes pratiques de sécurité comme le chiffrement dans le cadre du DevOps ? Principale raison invoquée : l’acquisition des clés et certificats dans un environnement DevOps prend trop de temps et crée des goulets d’étranglement. C’est pourquoi les équipes DevOps décident souvent de se passer du chiffrement, sauf cas critiques. Lorsque le chiffrement est indispensable, ce sont les équipes DevOps qui s’en chargent directement, sans donner de visibilité ou de contrôle à l’équipe de sécurité informatique.

Comment éliminer les risques de sécurité induits par la démarche DevOps

Près de 80 % des DSI constatent qu’avec le DevOps, il est plus difficile de distinguer les éléments de confiance au milieu du reste. Voyons comment le manque de visibilité ou de contrôle des clés et certificats peut annihiler les avantages de la démarche DevOps et étudions les moyens de résoudre ces problèmes afin que vous puissiez tirer pleinement profit de vos initiatives DevOps :

- Automatiser la sécurité pour accélérer les projets informatiques

La réponse anticipée aux évolutions du marché peut contribuer à l’amélioration des résultats financiers, mais 25 % des coûts liés aux applications sont superflus, notamment les ressources consacrées à l’acquisition manuelle des clés et certificats. Le gaspillage de ce temps précieux a un impact direct sur les calendriers de livraison des projets.

Recommandation : mettez en œuvre des procédures permettant d’automatiser la création et la distribution des clés et certificats de chiffrement tout au long du processus de développement, de sorte que cette responsabilité n’incombe plus aux équipes DevOps. Ainsi, le service de sécurité informatique pourra respecter les pratiques du modèle Fast IT, tout en réduisant le nombre de failles potentielles découlant des processus manuels.

- Obtenir une visibilité sur les clés et certificats pour garantir la disponibilité du service et la confiance de la clientèle

Maintenir la satisfaction client est un combat de tous les instants ; une interruption de service suffit à la faire dégringoler. L’absence de suivi des dates d’expiration des certificats HTTPS peut engendrer un coût moyen atteignant jusqu’à 1 million de dollars par heure d’arrêt.

Les équipes DevOps ne sont pas des spécialistes de l’ICP, et c’est bien normal. Cependant, dans la plupart des cas, elles se chargent elles-mêmes d’acquérir et d’installer les certificats. À défaut d’être informées, les équipes de sécurité informatique ne peuvent pas assurer le suivi connexe.

Recommandation : vous devez être en mesure de savoir où sont utilisés tous les certificats de vos applications afin qu’ils fassent l’objet d’une surveillance par le service de sécurité informatique. Vous pouvez alors instaurer des politiques et suivre les dates d’expiration des certificats pour éviter toute interruption de service et entretenir la confiance de la clientèle.

- Intégrer la production des clés et certificats dans le processus DevOps

L’optimisation de l’efficacité opérationnelle est l’un des principaux moteurs d’adoption du DevOps. Dans le cadre des anciennes pratiques informatiques, il est acceptable de passer 4,5 heures à la production manuelle de chaque certificat. Cependant, les équipes DevOps et New IT n’ont tout simplement pas le temps d’acquérir et d’installer les clés et certificats à partir d’une interface utilisateur. Elles doivent être en mesure d’intégrer la production des clés et certificats dans le processus de développement automatisé afin de livrer des milliers de certificats en quelques secondes — c’est le minimum requis.

Recommandation : les équipes DevOps ont l’habitude d’utiliser des API. Mettez en place des méthodes exploitant les API pour automatiser entièrement le processus de production des clés et certificats.

La mise en œuvre de ces recommandations vous permettra de mener vos projets à bien plus rapidement, sans compromettre la sécurité. Grâce à l’instauration de contrôles et de processus automatisés concernant les clés et certificats, vous pouvez maintenir la sécurité tout en poursuivant l’évolution DevOps au rythme de vos activités.

Comment votre équipe DevOps assure-t-elle la production de clés et certificats ? Ce processus ralentit-il la livraison de vos projets DevOps ou contribue-t-il à la vulnérabilité de vos services ?

Il ne faut surtout pas hésiter à exposer ses problématiques et solutions.

Chiffrement / Projets informatiques