SecOps (DevSecOps)
SecOps (aussi appelé DevSecOps) est une méthode de gestion qui fait le lien entre équipes de sécurité et d'exploitation, de la même manière que DevOps réunit développeurs de logiciels et informaticiens chargés de l'exploitation.
Le principe de base de SecOps est de partager la responsabilité, les processus, les outils et les informations entre les équipes de sécurité et d'exploitation, afin que l'entreprise n'ait pas à sacrifier la sécurité au profit d'une disponibilité et de performances accrues. L'implication constante des deux équipes est un gage de meilleure visibilité au niveau des modifications requises et de leur impact sur les autres divisions de l'entreprise.
Le processus d'unification de la sécurité et de l'exploitation comporte plusieurs phases. La première consiste à fusionner les priorités et la prise de décision. Il s'agit ensuite de partager les canaux de communication, outils logiciels et autorisations d'accès aux informations, de sorte que chaque membre d'équipe ait une vision uniforme et globale du développement. Enfin, tous les processus de développement doivent être mis à jour dans le but d'intégrer la sécurité à chaque étape.
La différence essentielle entre SecOps et d'autres méthodologies de gestion, est que la sécurité relève de la responsabilité de tous les membres d'équipe et est incluse dans tous les aspects de l'organisation. Par exemple, un agent du service client peut remarquer une notification d'e-mail suspect, tandis qu'un ingénieur signalera une tentative d'injection SQL.
A l'heure où les équipes de sécurité de l'information jouent un rôle de plus en plus important, SecOps permet de s'assurer que les divergences entre sécurité et exploitation n'entraînent pas de problèmes dans toute l'entreprise. Ainsi, en favorisant la collaboration entre les équipes de sécurité et d'exploitation, l'entreprise peut réduire les inefficacités dans les processus, renforcer sa sécurité en général et répartir la responsabilité.
Objectifs de SecOps
Pour une approche SecOps réussie, il convient d'introduire les aspects liés à la sécurité en amont ou à chaque étape du cycle de développement. Avant tout, la direction doit s'engager à apporter des améliorations en matière de sécurité, afin de mettre en oeuvre une feuille de route globale. Les objectifs peuvent également comprendre une collaboration entre équipes et une analyse transversale des risques opérationnels.
Pour certaines entreprises, SecOps peut représenter un changement de culture dont la réussite implique de résoudre au préalable des problématiques plus vastes. Dans cette situation, les objectifs peuvent inclure une redéfinition des rôles et des priorités, une présentation des risques liés aux incidents de sécurité et un consensus sur les fonctions métier de base.
Avantages
La mise en oeuvre d'une approche SecOps est associée aux avantages suivants :
- hausse du retour sur investissement (ROI) ;
- amélioration de la productivité ;
- utilisation plus performante des ressources partagées ;
- réduction des perturbations des applications ou des services ;
- rationalisation de l'audit de sécurité ;
- meilleure détection des failles de sécurité dans toute l'entreprise ;
- adoption facilitée de technologies exigeant des mesures de sécurité évoluées, telles que les services cloud ;
- renforcement de la gestion et des interventions en cas d'incident ;
- correctifs plus efficaces ;
- conformité facilitée.
DevSecOps
Un autre terme apparenté à SecOps, DevSecOps, désigne un processus qui répartit les pratiques de sécurité entre le développement et l'exploitation. Bien que le terme soit relativement récent, l'idée de prendre en compte la sécurité à chaque étape du cycle de vie des logiciels existe depuis de nombreuses années.
DevSecOps se concentre souvent sur une approche Agile du développement, qui cherche à conjuguer vitesse et efficacité. De plus en plus, les équipes travaillent ensemble de façon à traiter la sécurité au même niveau que le développement et l'exploitation.