DevSecOps: l'automatisation au service de la protection des environnements cloud

L'automatisation du cycle de vie DevSecOps est de plus en plus considérée comme un pilier central de la gestion des risques, fait observer une étude récente de Dynatrace. Une tendance qui s'explique notamment par l'évolution rapide des menaces de cybersécurité et des exigences réglementaires. Il apparaît ainsi qu’environ trois quart des CISO estiment que l'automatisation du processus DevSecOps est essentielle pour minimiser les risques liés à la sécurité des applications. Ces pratiques deviennent non seulement cruciales pour rester en conformité avec les réglementations émergentes (telles que le règlement européen sur la résilience opérationnelle numérique, dit DORA), mais aussi dans l'objectif de gérer les vulnérabilités introduites par l'utilisation de l'IA par les cybercriminels. 

Toutefois, malgré l'urgence exprimée par trois quart des CISO d'améliorer la maturité de l'automatisation DevSecOps, la plupart des organisations en sont encore aux premiers stades, avec des pratiques souvent isolées et un besoin de coordination face à la multiplicité des outils de sécurité.  

Automatisation via les solutions d'infrastructure en tant que code

Les solutions d'infrastructure en tant que code (IaC), qui font partie de la boîte à outils DevOps, sont utilisées pour automatiser diverses tâches d'infrastructure. Dans son récent rapport State of DevSecOps, Datadog souligne que l'IaC garantit non seulement que tous les changements sont examinés par des pairs, mais réduit également les permissions des opérations humaines sur les environnements de production. Et ce principalement parce que les déploiements sont gérés par des pipelines CI/CD. En outre, les organisations peuvent analyser le code IaC pour détecter les configurations faibles avant qu'elles n'atteignent la production, contribuant ainsi à réduire les risques de sécurité. Se fondant sur des technologies IaC populaires telles que Terraform, CloudFormation d'AWS et Pulumi, plus de 71% des organisations utilisant AWS intègrent l'IaC dans leurs processus, indique les données de Datadog. Ce chiffre est sensiblement inférieur pour Google Cloud, avec 55% (Datadog n’a pas accès aux données pour Azure). 

Trop d'exécutions manuelles et d’identifiants à validité longue

En outre, l'automatisation intégrée dans les pipelines CI/CD garantit que les ingénieurs n'ont pas besoin d'un accès privilégié permanent à l'environnement de production et que les déploiements sont correctement surveillés et examinés. Reste que l'approche manuelle à partir de la console cloud, souvent appelée ClickOps, est encore utilisée par au moins 38% des organisations sur AWS, augmentant le risque d'erreurs et d'expositions non sécurisées.

Un autre risque mis en exergue par le rapport de Datadog réside dans les fuites des identifiants, cause fréquente de violations de données dans les environnements cloud. Le recours à des identifiants éphémères dans les pipelines CI/CD est donc essentiel pour sécuriser ces environnements.  Pourtant, un grand nombre d'organisations continuent de s'appuyer sur des identifiants à validité longue dans leurs environnements AWS, alertent les auteurs du rapport de Datadog.