DevOps : des méthodes pour réduire les risques de la cybersécurité

DevOps : stratégies de sécurité et du risque

Comment évaluer  les risques, favoriser la collaboration des équipes de développeurs, de sécurité et de direction, hiérarchiser les étapes pour protéger les processus DevOps ?

Retour sur les recommandations des RSSI du Global 1 000 pour la protection des accès à privilèges dans les environnements DevOps et Cloud.

5 recommandations de sécurité DevOps fondées sur les expériences réelles de RSSI

• Transformer l’équipe de sécurité en partenaires DevOps

S’assurer que les développeurs et les experts de la sécurité ont les compétences adéquates, faciliter la tâche des développeurs, encourager la collaboration et adopter des méthodes DevOps souples

• Donner la priorité à la sécurisation des outils et de l’infrastructure DevOps

Définir et appliquer des règles pour la sélection et la configuration des outils, contrôler l’accès aux outils DevOps, appliquer le principe de moindre privilège et surveiller l’infrastructure

• Établir les exigences en matière de sécurisation des informations, d’identification et des secrets

Mandater la gestion centralisée des secrets, étendre les capacités d’audit et de surveillance, éliminer les informations d’identification des outils et des applications et développer des modules de code réutilisables

• Adapter les processus de test des applications

Intégrer des tests automatisés de code, obliger les développeurs à résoudre les problèmes de sécurité à l’aide d’une approche « break the build » et envisager un programme de « bug bounty »

• Évaluer les résultats des programmes de sécurité des DevOps

Tester les déploiements de solutions de gestion des secret, promouvoir les améliorations et former les auditeurs

Source Rapport CISO CyberArk & Robinson Insight The CISO View: Protecting Privileged Access in DevOps and Cloud Environments