CyberArk publie son nouveau rapport CISO View sur le DevOps

CyberArk a publié un nouveau rapport de recherche intitulé « The CISO View: Protecting Privileged Access in DevOps and Cloud Environments ». Fondé sur les expériences directes d’un panel de RSSI du Global 1 000, le rapport fournit des conseils aux équipes de sécurité pour les aider à évaluer efficacement les risques, à favoriser la collaboration des développeurs et à hiérarchiser les étapes pour protéger les processus DevOps, tout en maintenant leur vitesse de développement.   

Le rapport fait partie de l’initiative de l’industrie The CISO View, et présente les contributions des dirigeants des principales organisations qui adoptent les méthodologies et les outils DevOps, notamment American Express Company, American Financial Group, Asian Development Bank, Carlson Wagonlit Travel, CIBC, GIC Private Limited, ING Bank, Lockheed Martin, NTT Communications, Orange Business Services, Pearson, Rockwell Automation et Starbucks. Parrainée par CyberArk, l’initiative rassemble les principaux RSSI en vue du partage d’informations entre pairs afin d’aider les équipes de sécurité à élaborer des programmes de cybersécurité.

Bien que les stratégies de sécurité doivent tenir compte des accès à privilèges et du risque associé à des secrets et informations d’identification non sécurisés, elles doivent également s’aligner étroitement sur la culture et les méthodes des DevOps pour éviter de nuire aux progrès des développeurs et de ralentir le lancement de nouveaux services. Malgré cela, 73 % des organisations interrogées dans le cadre du rapport « Global Advanced Threat Landscape » de CyberArk pour 2018, ne disposent d’aucune stratégie pour garantir la sécurité des accès à privilèges en matière de DevOps.

Le rapport cite cinq recommandations clés, fondées sur les expériences réelles des RSSI participants, notamment :

1.   Transformer l’équipe de sécurité en partenaires DevOps – S’assurer que les développeurs et les experts de la sécurité ont les compétences adéquates, faciliter la tâche des développeurs, encourager la collaboration et adopter des méthodes DevOps souples, en matière de sécurité.

2.   Donner la priorité à la sécurisation des outils et de l’infrastructure DevOps – Définir et appliquer des règles pour la sélection et la configuration des outils, contrôler l’accès aux outils DevOps, appliquer le principe de moindre privilège, et protéger et surveiller l’infrastructure.

3.   Établir les exigences de l’entreprise en matière de sécurisation des informations d’identification et des secrets – Mandater la gestion centralisée des secrets, étendre les capacités d’audit et de surveillance, éliminer les informations d’identification des outils et des applications, et développer des modules de code réutilisables.

4.   Adapter les processus de test des applications – Intégrer des tests automatisés de code, obliger les développeurs à résoudre les problèmes de sécurité à l’aide d’une approche « break the build » et envisager un programme de « bug bounty ».

5.   Évaluer les résultats des programmes de sécurité des DevOps – Tester les déploiements de solutions de estion des secrets, mesurer et promouvoir les améliorations et former les auditeurs.   

« Ce rapport CISO View rend compte de l’expérience et des recommandations des dirigeants qui adoptent en toute sécurité les flux de travail de DevOps, explique Marianne Budnik, CMO, chez CyberArk. Pour les organisations qui se lancent dans des initiatives de transformation numérique, il n’a jamais été aussi important d’aligner les stratégies de sécurité et de risque sur les nouveaux outils et technologies. En comprenant les défis organisationnels et opérationnels, les équipes de sécurité peuvent mener plus efficacement des discussions productives entre les équipes de direction, de sécurité et de développement. »

Ce rapport est le troisième de la série de rapports The CISO View. Il a été élaboré en collaboration avec la firme de recherche indépendante Robinson Insight et s’appuie sur les idées et les conseils fournis par le panel de RSSI du Global 1000, des membres de la communauté de la sécurité et d’autres experts du secteur.

Pour télécharger le rapport intitulé « The CISO View: Protecting Privileged Access in DevOps and Cloud Environments » et d’autres rapports de la série, rendez-vous sur https://www.cyberark.com/cisoview/.