Gestion des secrets : pourquoi les équipes DevOps sont à la peine
Publié par La rédaction le - mis à jour à
Les pratiques DevOps de gestion des secrets d'une majorité d'organisations ne sont pas normalisées et présentent des risques.
Identifiants à privilèges, mots de passe, certificats, clés API, clés SSH et de chiffrement. Les secrets exposés dans les pipelines DevOps d'intégration et déploiement continus (CI/CD) impactent une majorité d'entreprises. Forrester a mené une enquête pour ThycoticCentrify.
Près de 400 développeurs, chargés d'équipes de développement et responsables de gestion des identités et des accès (IAM) ont été interrogés*.
5% seulement des décideurs concernés déclarent que la plupart des équipes utilisent les mêmes processus et outils de gestion des secrets. Cette dispersion fragilise les entreprises.
En outre, 57% des managers déclarent que leur organisation a subi au moins un incident de sécurité lié à des secrets révélés par des processus DevOps non sécurisés ces 24 derniers mois. Et 62% s'attendent à ce que la fréquence de ces incidents s'accélère à moyen terme.
Invisible Dev(Sec)Ops ?
L'équilibre à trouver entre sécurité et rapidité des déploiements applicatifs reste un défi.
Comment réduire les risques cyber et les tensions entre responsables IAM et développeurs ?
Centraliser (71%) et intégrer (76%) la gestion automatisée des secrets dans des outils que les développeurs utilisent déjà est l'approche privilégiée par le management.
Il s'agit, explique Forrester, de « rendre le processus presque invisible pour les développeurs ».
« Nous ne devrions pas nous attendre à ce que les équipes DevOps deviennent des experts en sécurité », insiste la société d'analystes de marché.
*227 responsables IAM ainsi que 160 développeurs et leurs managers ont répondu au sondage. Ils sont employés dans des ETI et de grands groupes. Où ? Amérique du Nord, région EMEA, Asie-Pacifique.
(crédit photo via VisualHunt)