Cyber assurance : quel rôle DevSecOps pourrait bientôt jouer ?

La cyber assurance est un marché relativement jeune. Les menaces sont de plus en plus évolutives, ce qui rend les risques plus difficiles à évaluer que pour de nombreuses autres formes d'assurances.

Les assureurs adaptent constamment leurs conditions et l’approche DevSecOps pourrait être le prochain sur leur liste.

Les entreprises qui souhaitent souscrire ou renouveler une cyberpolitique sont confrontées à des exigences de plus en plus strictes en matière de cybersécurité. Par exemple, la liste des contrôles de sécurité qui sont devenus des conditions préalables à la souscription d'une assurance abordable s'est élargie à plusieurs reprises au cours des dernières années. Face à la montée en puissance des cybermenaces et à l'augmentation constante des dommages causés par les cybercriminels, les assureurs ont eux aussi sérieusement été affectés et s'efforcent en permanence de se protéger.

Ces exigences ont toujours inclues des mesures telles que l’authentification multi-facteurs (MFA), les logiciels anti-malware, les pares-feux et les systèmes de détection d'intrusion. Ces dernières années, la gestion des accès à privilèges (PAM) a été ajoutée aux technologies exigées pour la cyberassurance. Déployée correctement, les solutions PAM fournit des contrôles de sécurité essentiels pour protéger les systèmes et les données des entreprises et se conformer avec la stratégie d’accélération « cybersécurité » du gouvernement français.

Mais la liste va probablement encore s'allonger, notamment pour les entreprises dont l'activité nécessite le développement de logiciels et qui ont adopté le modèle de workflow DevOps.

Les enjeux de DevOps

Les workflows DevOps, rapides et répétitifs, s’accompagnent souvent de risques de sécurité liés à la gestion des privilèges. Lorsque la concurrence devient accrue concernant la rapidité de la distribution des Applications, il devient très tentant de partager un accès à privilèges à tous les containers, serveurs et applications ou d'utiliser des informations d'identification en clair intégrées dans le code.

Sans surprise, les hackers utilisent de plus en plus souvent des identifiants codés en dur, des API mal ou non sécurisées et des données de configuration sensibles dans le code pour perpétrer des cyberattaques à grande échelle. Par exemple, la vulnérabilité des API a été remise en cause pour le vol massif de données personnelles chez un prestataire de Pôle emploi en 2023 concernant potentiellement 10 millions de personnes.

Se lancer dans le DevSecOps

Qu'est-ce que DevSecOps ? DevSecOps (ou DevOps Security) est une approche innovante du développement logiciel qui intègre la sécurité dès le départ et à toutes les étapes du cycle de développement. DevSecOps assure la sécurité des applications grâce à des processus continus et automatisés et peut également découvrir des failles directement liées à la gestion des autorisations d'accès.

Cependant, de nombreuses entreprises ont repoussé la mise en œuvre de DevSecOps parce qu'il s'agit d'une nouvelle approche de sécurité avec des enjeux uniques. Nombreux sont ceux qui y renoncent par crainte de voir leurs méthodes de développement agile compromises et leur compétitivité réduite. Plus précisément, ils craignent que le pipeline d'intégration et de livraison continue (CI/CD) qui produit le code ne soit ralenti.

Alors que DevSecOps devient un élément essentiel pour la sécurité globale de l'entreprise et que l'obtention d'une cyber-assurance devient de plus en plus onéreuse, il est temps de dissiper les craintes de ce ralentissement et de trouver des moyens d’intégrer en douceur ces pratiques dans les stratégies de sécurité des organisations.

Pourquoi étendre la gestion des accès à privilèges aux DevOps est un bon début ?

L'important n'est pas de se précipiter ou d'investir immédiatement dans les nouvelles technologies, mais de procéder et d'établir des priorités étape par étape.

Un point de départ intéressant serait l’extension des contrôles PAM pour inclure une gestion efficace des secrets DevOps. En effet, les workflows DevOps rapides et répétitifs s'accompagnent souvent de risques de sécurité liés à l'accès à privilèges aux conteneurs, aux serveurs et aux applications. Le défi consiste à concilier les cycles DevOps rapides et dynamiques et l'automatisation robotisée des processus (RPA) avec les politiques de sécurité.

Les solutions PAM modernes peuvent surmonter ces défis en fournissant une gestion des secrets à la vitesse DevOps - sans perturber le processus de développement - avec des fonctionnalités tels que :

• Coffre-fort à haut débit : Le modern PAM fournit un coffre-fort crypté, centralisé et basé sur SaaS qui répond aux besoins spécifiques de rapidité et d'agilité des équipes DevOps et stocke les identifiants privilégiés en quelques minutes.
• Secrets centralisés : Le modern PAM élimine les instances de coffre-fort hétérogènes, renforce l'accès sécurisé aux secrets et crée une piste d'audit complète donnant aux parties prenantes une visibilité sur toutes les activités privilégiées.
• Automatisation et portée : Le modern PAM fournit une interface automatisée (CLI et API) optimisée pour la vitesse et la portée des pipelines DevOps et des implémentations et outils RPA.
• Délivrance de certificats : Le modern PAM prend en charge l'émission de certificats X.509 et SSH, ainsi que leur signature et leur distribution automatiques.
• L’accès « juste à temps » : Le modern PAM supprime l'accès permanent aux bases de données telles que MySQL, PostgreSQL, Oracle, etc., ainsi qu'aux plateformes cloud telles que AWS, Azure ou GCP. Il s'appuie plutôt sur un accès sécurisé « juste à temps ».

Les cyber-assureurs attendent aujourd'hui de leurs clients qu'ils prennent des mesures de sécurité proactives, notamment en matière de gestion de l'identité et de l'accès. Si les entreprises utilisent DevOps, il est conseillé de mettre en œuvre des solutions PAM qui sécurisent aussi efficacement les secrets DevOps. Toutefois, cela nécessite des outils qui prennent en charge la vitesse et l'agilité nécessaires aux charges de travail de l'équipe DevOps.