Le début de l’année commence fort en matière de cybermenaces avec la découverte des vulnérabilités Meltdown et Spectre visant les processeurs Intel. Une nouvelle preuve, s’il en fallait, que si les attaques mondiales WannaCry et NotPetya survenues l’an passé ont sensibilisé, elles n’ont toutefois pas permis d’éradiquer les mauvaises pratiques. Or, la théorie est toujours plus aisée que la réalité, et la faille Intel démontre que la vulnérabilité n’est décidément jamais où on l’attend et que les cyberpirates continuent de garder une longueur d’avance.

Trois grandes tendances devraient marquer l’évolution du DevOps.

Tout d’abord, l’attaque contre Uber ne sera pas la dernière. En effet, bien qu’elle ait fait la une des media, cette faille n’aurait pas dû étonner autant : les données de 57 millions de clients ont été piratées car les développeurs de l’entreprise exposaient des secrets au sein de solutions de stockage de codes publiques. Cela a notamment permis aux hackers d’accéder aux comptes à privilèges d’Uber. La raison de cette pratique sensible ? Il n’existe tout simplement pas de moyens simples et sécurisés pour que les différents départements d’une entreprise collaborent.

De nombreuses organisations ne parviennent ainsi pas à sécuriser les activités des spécialistes DevOps, ce qui provoque des tensions et des vulnérabilités. Les développeurs ne sont pas, et ne devraient pas, être des employés chargés de la sécurité. Ils sont en effet responsables des caractéristiques et des fonctionnalités, et non de la gestion de la collaboration et de la sécurisation des identifiants. Une étude récente de CyberArk indique que la plupart des organisations françaises ne connaissent pas tous les lieux et les outils dans lesquels les identifiants sont stockés. Ces entreprises sont par conséquent très vulnérables, et plus de 79 % d’entre elles n’ont aucune stratégie pour y remédier. C’est pourquoi il est fort probable que les attaques continueront d’aboutir en 2018, et au-delà. L’échec est évident lorsqu’on demande à un employé de gérer la sécurité, alors que cela ne fait pas partie de ses prérogatives et qu’il ne possède pas d’expérience en la matière. L’automatisation a cependant un rôle clé à jouer dans l’amélioration de la sécurité, en l’intégrant à l’expérience native des développeurs.

En outre, l’attaque d’Uber n’aurait pas dû être si singulière car de nouvelles recherches indiquent que l’entreprise est loin d’être un cas isolé, avec 62 % des organisations françaises qui n’auraient pas informé leurs clients de la compromission de leurs données personnelles lors d’une cyberattaque. Quoiqu’alarmant, ce constat n’est pas surprenant.

Cette année, les spécialistes DevOps seront de plus surchargés et nous constaterons un nouveau manque de talents DevSecOps. Les organisations se tournent ainsi de plus en plus vers les workflows DevOps pour atteindre une rapidité d’exécution et d’innovation. Elles ne sont cependant pas préparées ou dotées du personnel adéquat pour gérer la sécurité de ces environnements. 2018 verra donc un manque critique de spécialistes DevSecOps – qui intègrent la cybersécurité tout au long du cycle de vie d’une application – alors même que la protection devient une priorité pour les entreprises. Actuellement, beaucoup d’entre elles la confient déjà aux spécialistes DevOps, en sus des nombreuses responsabilités qui leur incombent, et ce malgré leur manque d’expérience en la matière. Mais cela doit cesser, surtout si on considère l’augmentation de la surface d’attaque étendue dans les workflows DevOps, ainsi que les risques associés à la gestion des scripts, des plateformes et des systèmes utilisés dans les workflows automatisés. Les experts DevSecOps sont donc très demandés, et les profils manqueront en 2018, puisque les organisations réalisent que même si elles ont les bons outils, elles n’ont pas nécessairement les bonnes personnes pour les gérer. La sécurité deviendra un travail à temps plein, axé sur les workflows DevOps, et il y aura peu de personnes disponibles pour mener à bien ces missions.

Enfin, en 2018, le moindre privilège fera peau neuve dans l’univers DevOps. Les entreprises commencent en effet à comprendre que « l’identité » n’a, jusqu’ici, pas été complètement prise en compte ; il n’y a pas de standard commun pour l’identité machine, le contrôle et la gestion des accès, ou encore l’audit sur l’ensemble des composants de la plateforme. Les organisations sont donc aussi vulnérables que leur élément le plus faible. Ce dernier peut être une machine virtuelle, un conteneur ou l’une des dizaines de couches de plateforme qui existent désormais sur un réseau. Et lorsque ces matrices s’étendent, elles deviennent beaucoup plus difficiles à contrôler.

Par conséquent, la cybersécurité nécessite une définition plus précise de l’identité machine dans les systèmes hautement automatisés, qui transportent des données de plus en plus sensibles. Dès l’année 2018, les concepts précédemment utilisés dans la gestion de l’accès humain, seront appliqués aux machines de manière significative. En forçant les spécialistes DevOps à poser aux machines la question « qui êtes-vous, qu’est-ce que vous êtes et que souhaitez-vous ? », et ce y compris dans l’environnement DevOps, les organisations pourront appliquer de meilleures pratiques de sécurité et limiter les activités des machines, sans compromettre pour autant les opérations. Cela permettra une véritable responsabilisation de la sécurité des environnements DevOps, et le processus de livraison continue du moindre privilège des DevSecOps pourra devenir une réalité. »

________
Elizabeth Lawler est Vice President of DevOps Security chez CyberArk