Le déplacement vers la gauche consiste à avancer la sécurité dans le processus de développement. La représentation graphique du processus de développement d'une application, avec le temps comme axe X, commence par la reconnaissance d'un besoin auquel une technologie ou un service répondra, qu'il s'agisse d'une application développée pour être vendue à des clients payants ou pour un usage interne. Au fur et à mesure que la solution passait par les étapes de la conception, de l'élaboration, du développement, de la construction et du test, la sécurité constituait souvent une étape finale, avant le déploiement. La sécurité était simplement enveloppée à l'extérieur de l'application avant d'être mise à la disposition des utilisateurs finaux. Et cette étape a nécessairement pris du temps.
En outre, une intégration plus étroite de la sécurité tout au long du processus permet d'obtenir de meilleurs résultats en matière de sécurité, plutôt que de l'ajouter à la fin.
Le déplacement vers la gauche est le moyen de remédier à ces problèmes.
La publication immédiate d'un logiciel entraîne la publication immédiate de tout risque.
Les Les six piliers de DevSecOps: Automation, publié par la Sécurité du cloud Alliance (CSA), indique que "la sécurité ne peut être atteinte que lorsqu'elle a été conçue. Appliquer des mesures de sécurité après coup, c'est courir à la catastrophe.
Les protections de sécurité doivent suivre les mêmes voies automatisées. L'intégration étroite de la sécurité tout au long du cycle de développement peut non seulement accélérer le délai de publication, mais aussi améliorer la sécurité.
Le processus traditionnel de mise en œuvre de la sécurité après l'achèvement du développement, mais avant la publication, a entraîné des conflits fréquents entre les équipes de sécurité et de développement. Lorsque les équipes de développement ont achevé leur part du travail, elles ont cherché à mettre application entre les mains des utilisateurs finaux, afin de présenter le résultat de leurs efforts, de commencer à recueillir des commentaires et de respecter les délais. Le fait que la sécurité freine les libérations a entraîné des relations conflictuelles entre les deux parties.
Une enquête menée par ShiftLeft auprès de plus de 165 développeurs, application professionnels de la sécurité et de DevOps révèle que 89 % des personnes interrogées ont déclaré que la déconnexion actuelle entre les développeurs et les équipes de cybersécurité est le plus grand obstacle à la productivité.
En déplaçant la sécurité vers la gauche, les équipes peuvent coopérer et intégrer les processus nécessaires à la préparation des applications en vue de leur publication dans les délais et en toute sécurité.
Le passage à gauche implique de modifier le moment, l'endroit et la manière d'appliquer les meilleures pratiques en matière de sécurité. La sécurité doit instaurer la confiance avec les développeurs et DevOps. Ilestutile de comprendre la culture d'automatisation DevOps et la vitesse à laquelle ils déploient le code.
Dans le cadre du passage à gauche, vous devez fournir aux développeurs les outils nécessaires pour qu'ils puissent faire leur travail en toute sécurité sans que cela n'entraîne une charge de travail supplémentaire. Il s'agit notamment d'automatiser la sécurité, par exemple en effectuant une analyse de vulnérabilité au point de déploiement et en générant des autorisations pour les fonctions Lambda.
La sécurité doit être proactive, mais il est difficile d'y parvenir tout en conservant cette rapidité. Vous devez obtenir le contrôle, la gouvernance et l'observabilité. Les professionnels de la sécurité doivent permettre à l'entreprise de fonctionner, plutôt que de la restreindre.
Il est important que les développeurs comprennent les méthodes de codage sécurisées. Cela peut permettre aux développeurs, plutôt qu'aux analystes de la sécurité, de vérifier et d'éliminer les vulnérabilités à un stade précoce.
Comme l'explique Marco Rottigni, responsable de la sécurité technique, à Computer Business Review, "les développeurs devraient disposer de plug-ins qui déclenchent des contrôles de sécurité et de conformité à chaque étape du processus DevOps, en exposant les résultats directement dans les outils qu'ils utilisent couramment pour permettre une remédiation rapide du code vulnérable".
Si des progrès ont été accomplis sur la gauche, ils ne sont souvent pas suffisants. Plus de 42 % des personnes interrogées dans le cadre de l'enquête GitLab " Mapping the DevSecOps Landscape 2020 Survey" ont déclaré que les tests sont effectués trop tard dans le cycle de vie.
Sans automatisation de la sécurité, les équipes DevOps sont souvent gênées par la nécessité d'attendre une approbation humaine.
Comme l'a écrit Paul Holland dans Computer Weekly, "les RSSI doivent comprendre que les développeurs doivent avoir le temps de développer en toute sécurité et ne pas juger leurs performances uniquement en fonction du temps nécessaire à la construction".
Il n'est pas raisonnable de confier aux développeurs des tâches supplémentaires pour la sécurité de application, tout en attendant d'eux qu'ils maintiennent un rythme effréné. Si le transfert de la sécurité vers la gauche se traduit par un processus plus efficace et peut accélérer la mise sur le marché, du temps doit toujours être alloué aux tâches liées à la sécurité, telles que les révisions de code.
"Lescontrôles de sécurité ne peuvent être intégrés avec succès sans capacités de sécurité automatisées qui permettent un retour d'information opportun et significatif. En adoptant des capacités de sécurité automatisées, même modestes, des catégories entières de risques peuvent potentiellement être éliminées", a déclaré Sean Heide, analyste de recherche à la Sécurité du cloud Alliance.
Automatiser la remédiation. Ne créez pas de tickets pour résoudre des problèmes qui pourraient être résolus de manière automatisée. Offrez aux développeurs un libre-service pour évaluer la sécurité d'une pile qu'ils s'apprêtent à déployer.
Nigel Kersten, directeur technique de Puppet, a souligné l'importance du déploiement de l'automatisation à grande échelle dans les pratiques DevSecOps. "Sans [l'automatisation à grande échelle], les organisations se retrouveront avec les mêmes processus manuels et les mêmes incitations contradictoires. Alors, au lieu de DevSecOps, ces entreprises se retrouvent avec seulement Dev, Sec et Ops".
Les solutions disparates ne sont pas à la hauteur. En particulier, la sécurité des applications n'a pas été conçue pour s'adapter automatiquement aux changements apportés aux applications. La grande échelle de la plupart des infrastructures cloud et les environnements dynamiques rendent la sécurité particulièrement difficile.
Les professionnels de la sécurité d'aujourd'hui doivent déployer une sécurité multicouche dans tous les environnements cloud - avec une approche de sécurité et un langage de politique cohérents dans tout ce que vous faites. Check Point fournit une approche de sécurité automatisée qui protège à l'échelle et à la vitesse de cloud. Gardez la trace de vos configurations avec la gestion de la posture, la visibilité haute fidélité autour des actifs. Maintenir la protection conformément aux meilleures pratiques et à vos propres politiques. Surveillez en permanence l'ensemble de l'infrastructure cloud et prenez les mesures qui s'imposent.