Red Hat SummitLa sécurité ne doit pas être secondaire, elle doit être continue
Temps de lecture : 7 minutes |
Écouter cet article
La sécurité est souvent considérée comme secondaire, et ajoutée à la toute fin du cycle de développement par les équipes de sécurité et d'exploitation informatique. Ce processus reste gérable tant que les mises à jour logicielles sont effectuées une à deux fois par an seulement. Cependant, lorsque les développeurs adoptent des pratiques agiles qui leur permettent de travailler bien plus rapidement, cette approche de la sécurité freine le lancement des mises à jour nécessaires ou même la mise en production des applications.
« À mesure que les initiatives en matière de DevSecOps s'orientent vers le cloud, les préoccupations se multiplient dans quatre principaux domaines : la sécurité des données (45 %), la gestion de la sécurité du cloud (36 %), les risques de sécurité liés à la chaîne d'approvisionnement (33 %) et la protection des ressources dans le cloud public (29 %)1. »
Sécurité des données
Gestion de la sécurité du cloud
Risques de sécurité liés à la chaîne d'approvisionnement
Protection des ressources dans le cloud public
Lorsqu'elles adoptent des pratiques DevSecOps dès le début du cycle de vie des applications, les équipes de sécurité et d'exploitation sont capables de résoudre au plus tôt les problèmes de sécurité au niveau des individus, des processus et des technologies. Elles font ainsi de la sécurité un élément continu et à part entière du cycle de développement. Cette méthode de travail agile permet également d'accroître la rapidité et l'efficacité, de renforcer la sécurité et la conformité, d'encourager la collaboration, d'améliorer la cohérence et la reproductibilité, mais aussi de réduire le nombre d'erreurs humaines.
Tous ces efforts permettent aux entreprises de limiter les risques et de maintenir leur niveau de conformité en respectant les normes de sécurité du secteur, mais comment les mettre en œuvre ?
L'intérêt du DevSecOps
Avec le DevSecOps, accélérez vos processus
de manière
sécurisée
Parce qu'elles exécutent de plus en plus de charges de travail dans des environnements hybrides (systèmes bare metal, machines virtuelles, clouds privés et publics, etc.), les entreprises sont confrontées à des problèmes de sécurité et de conformité toujours plus complexes. Et la répartition des données entre les différentes charges de travail vient aggraver les défis tels que la sécurité des conteneurs, les menaces internes ou les logiciels malveillants.
Avec des pratiques DevSecOps, les équipes de sécurité et d'exploitation peuvent résoudre les problèmes de sécurité au niveau des individus, des processus et des technologies. Elles bénéficient notamment des avantages suivants :
- Renforcement de la sécurité et réduction des risques grâce à l'élimination de nombreuses vulnérabilités au début du processus de développement des applications et du cycle de vie de l'infrastructure
- Accroissement de l'efficacité et accélération des cycles de lancement DevOps grâce au remplacement des pratiques et outils de sécurité existants ainsi qu'à l'automatisation et la standardisation
- Réduction des risques et amélioration de la visibilité grâce à la mise en œuvre de barrières de sécurité au début du processus de développement des applications et du cycle de vie de l'infrastructure
Les équipes de sécurité doivent non seulement limiter les risques, mais aussi gérer les problèmes de sécurité et de conformité liés aux différents fournisseurs de services cloud et à l'évolution rapide des normes informatiques. Par conséquent, la sécurité du cloud hybride repose essentiellement sur la participation et la collaboration des équipes au sein de l'entreprise.
« Les équipes DevOps qui se préoccupent davantage de la sécurité en collaboration avec les groupes de sécurité progressent plus rapidement en matière de DevSecOps. Dans l'idéal, toutes les équipes, développement, exploitation et sécurité, doivent s'impliquer2. »
Les normes ouvertes et l'Open Source constituent le fondement de notre stratégie de cloud hybride ouvert, car l'ouverture qu'offre l'Open Source permet aux applications et aux données de circuler de manière cohérente d'un environnement à un autre. Cependant, les entreprises qui utilisent des logiciels communautaires peuvent être plus vulnérables aux attaques.
Pour garantir la sécurité du cloud hybride ouvert et mettre en place des pratiques DevSecOps, nous proposons des solutions fiables et axées sur la sécurité qui permettent aux entreprises de concentrer leurs efforts sur la création, la gestion et le contrôle de leurs environnements hybrides, ainsi que sur la mise en œuvre d'une stratégie d'automatisation et le développement d'applications robustes.
L'approche de Red Hat en matière de DevSecOps
Intégrez des pratiques DevSecOps
au cycle de développement de vos applications dès le début, souvent et
en continu
Le DevSecOps est essentiel pour les entreprises qui cherchent à développer rapidement des applications sans renoncer à la sécurité. Il ne se limite cependant pas au cycle de vie des applications. Notre approche intègre la sécurité à chaque phase du cycle de vie et dans l'ensemble de la pile technologique avec les solutions de l'écosystème des partenaires de Red Hat.
Créez un cloud hybride axé sur la sécurité
Pour réussir la mise en œuvre des pratiques DevSecOps, il faut commencer en amont du pipeline d'applications. Dans un premier temps, les entreprises doivent s'assurer que leurs applications et leur infrastructure fonctionnent avec des logiciels qui intègrent des outils et fonctions de sécurité.
Le développement des logiciels Open Source de Red Hat suit un processus de sécurité de la chaîne d'approvisionnement qui permet de déplacer des charges de travail dans tout environnement, tout en réduisant la surface d'exposition aux failles et attaques. Red Hat inclut également l'analyse statique du code source, la provenance des logiciels, des tests complets d'assurance qualité et de régression, la sécurisation, la distribution via un canal sécurisé, ainsi que des mises à jour de sécurité continues pour tous les paquets inclus dans les produits Red Hat.
La solution Red Hat Enterprise Linux® fournit une base de sécurité sur laquelle les clients peuvent faire évoluer en toute confiance leurs applications essentielles et déployer des technologies émergentes de manière cohérente, que ce soit sur des systèmes bare metal, dans des environnements virtuels, des conteneurs ou tous types de clouds.
Les produits qui s'exécutent dans les couches supérieures, notamment Red Hat OpenShift®, bénéficient également des technologies de sécurité de Red Hat Enterprise Linux. Red Hat fournit le même contenu Linux de confiance empaqueté sous la forme de conteneurs Linux. Avec les images de conteneurs universelles Red Hat, les clients peuvent profiter de la fiabilité, de la sécurité et des performances des images de conteneurs Red Hat là où s'exécutent les conteneurs Linux conformes à l'Open Container Initiative (OCI).
Gérez et contrôlez votre cloud hybride axé sur la sécurité
Pour gérer et contrôler à grande échelle un environnement hybride composé d'environnements traditionnels et conteneurisés, il est notamment possible de mettre en œuvre une stratégie d'automatisation cohérente pour le développement des applications, la gestion de la sécurité et l'exploitation de l'infrastructure, avec à la clé un plus haut niveau de sécurité et de conformité. Les entreprises qui adoptent une stratégie d'automatisation cohérente dans leur cloud hybride bénéficient directement de l'amélioration de la sécurité et de la conformité qui en résulte.
Intégrez la sécurité au développement des applications avec des pratiques DevSecOps
Après avoir amélioré la sécurité en l'intégrant à la conception du cloud hybride, et avoir mis en œuvre une stratégie d'automatisation globale et cohérente pour gérer et contrôler leurs environnements hybrides, les entreprises doivent continuer de s'intéresser de près à la sécurité en étendant l'automatisation au cycle de vie des applications et en adoptant des pratiques DevSecOps dès le début du développement et du cycle de vie de l'infrastructure.
45 %
« 45 % des personnes interrogées ont cité l'accélération du développement et des déploiements sans compromis en matière de sécurité comme l'un des principaux enjeux3. »
Chez Red Hat, nous avons inclus des pratiques DevSecOps dans nos solutions pour aider nos clients à intégrer la sécurité dès le début de leur pipeline d'applications, ainsi qu'à déployer et exécuter des applications dans des environnements à la fois traditionnels et conteneurisés. Il s'agit d'un changement non seulement technologique, mais aussi culturel et humain.
55 %
« 55 % des responsables DevSecOps ont indiqué que le partage des responsabilités entre les équipes de développement et de sécurité est essentiel4. »
En collaboration avec nos partenaires, nous offrons les outils et services nécessaires à la mise en place d'un écosystème DevSecOps complet, ainsi que l'expertise et les produits qui permettent de créer, de déployer et d'exécuter des applications axées sur la sécurité dans un cloud hybride ouvert. Vous profitez ainsi de processus optimisés, d'un développement plus rapide des applications avec une sécurité renforcée, d'une culture de la collaboration ainsi que d'une réduction des risques pour votre entreprise et, en fin de compte, pour vos clients.
En savoir plus
Étude d'IDC
Découvrez pourquoi les entreprises adoptent activement des pratiques DevSecOps
DevOps
Découvrez comment Red Hat peut vous aider à adopter le modèle DevSecOps
1. Livre blanc d'IDC, commissionné par Red Hat, « DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes », n° US48346521, page 6, décembre 2021.
2. Livre blanc d'IDC, commissionné par Red Hat, « DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes », n° US48346521, page 4, décembre 2021.
3. Livre blanc d'IDC, commissionné par Red Hat, « DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes », n° US48346521, page 5, décembre 2021.
4. Livre blanc d'IDC, commissionné par Red Hat, « DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes », n° US48346521, page 15, décembre 2021.
