En tant que professionnel de la sécurité de longue date, je suis toujours intéressé par la façon dont des entreprises comme Datadog s'adaptent à l'évolution du paysage de la sécurité. Je me souviens d'une époque où l'organisation de la sécurité était seule responsable de la sécurité et où nous nous concentrions sur la protection du périmètre de notre entreprise. Cependant, avec l'avènement du cloud, des applications mobiles et web, ce périmètre a disparu. Parallèlement, les entreprises réalisent que la sécurité devrait être une responsabilité partagée et intégrés au sein de leurs équipes de développement et d’exploitation.

Soyons réalistes : les attaques sur les applications Web sont devenues une menace , et le volume des violations de données qu’elles provoquent augmente rapidement chaque année. Voyou Les acteurs profitent des faiblesses de nos infrastructures, de nos logiciels et de nos processus. Comment pouvons-nous riposter contre cela ? Entrez un nouvel espoir : DevSecOps !

Comme vous pouvez le constater, je suis un fan de Star Wars depuis mon enfance. Je suis toujours ravi de la sortie d'un nouveau film de cette franchise légendaire, et le dernier en date m'a fait réfléchir à certaines des leçons que cette galaxie lointaine m'a apprises en matière de DevSecOps.

« Tu dois désapprendre ce que tu as appris. » – Yoda

J'interprète ce sage dicton du Maître Jedi comme signifiant que certaines connaissances que vous « connaissez comme vraies » pourraient ne plus l'être, et qu'en matière de DevSecOps, elles pourraient entraver votre capacité à réussir votre transformation. En utilisant des outils et des processus obsolètes, les équipes de sécurité risquent de ralentir les choses. La sécurité doit s'adapter dans le cadre de changer la mentalité en matière de sécurité au sein d'une organisation, et découvrez comment de nouveaux outils et processus peuvent les aider à devenir de meilleurs partenaires. Datadog, un service de surveillance des applications cloud, a compris la nécessité de mettre à jour ses outils et processus. Son équipe de sécurité s'est inspirée de l'équipe de développement et a commencé à utiliser PagerDuty pour ses alertes et ses réponses. En tant que membre de l'équipe de sécurité de PagerDuty , je peux également témoigner que nous manger notre propre nourriture pour chien et utilisez notre plateforme dans le cadre de nos opérations de sécurité. Mais pourquoi ?

« C'est le vaisseau qui a fait le Kessel Run en moins de douze parsecs ! » – Han Solo

Chez PagerDuty, nous adoptons un modèle de réactivité. Par exemple, avec quelle rapidité pouvons-nous identifier un événement de sécurité ou la non-conformité d'une ressource, et avec quelle rapidité pouvons-nous réagir et corriger le problème ? Une partie du DevSecOps consiste à prendre des décisions de sécurité automatisées, rapides et à grande échelle. Ce n'est peut-être pas aussi rapide que le saut du Faucon Millenium vers… vitesse de la lumière , mais être capable de réagir rapidement peut entraîner des économies potentielles et une réduction des risques. La rapidité est un facteur important !

Nous aimerions tous pouvoir affirmer que chaque version est sécurisée à 100 % et que nous bénéficions tous d'une disponibilité de 100 %, mais ce n'est pas le cas. Des failles de sécurité sont inévitables, et la rapidité de réaction peut avoir un impact sur les résultats financiers. Étude Ponemon 2017 sur le coût des violations de données Il a été démontré qu'une équipe d'intervention en cas d'incident peut réduire le coût d'une violation jusqu'à 19 $ par enregistrement. Il est donc essentiel d'alerter et d'impliquer rapidement les bonnes personnes.

Chez PagerDuty, nous exploitons une plateforme SaaS multi-locataire dans le cloud et utilisons de nombreux outils pour surveiller et protéger notre infrastructure. Ces outils génèrent de nombreux signaux que nous pouvons analyser et filtrer. Grâce à des intégrations avec la plateforme PagerDuty , nous sommes en mesure de créer des événements et des alertes de sécurité pertinents. Cela nous permet d'agir rapidement en cas d'événement et de lancer notre activité. processus de réponse aux incidents pour le contenir rapidement, réagir et récupérer.

Cela ne s'applique pas uniquement aux incidents de sécurité. Dans un environnement où les développeurs sont propriétaires de leur code Nous sommes également en mesure de déterminer rapidement si les ressources de notre infrastructure cloud sont non conformes ou présentent un risque de sécurité. Nous pouvons réagir rapidement et collaborer avec le développeur pour corriger le problème, tout en fournissant un retour rapide sur les meilleures pratiques de sécurité afin d'améliorer le processus à l'avenir.

« Fais-le. Ou ne le fais pas. Il n'y a pas d'essai. » – Yoda

Mettre en œuvre une approche DevSecOps peut sembler une tâche ardue, et sa réussite comporte de nombreux défis (comme changer les mentalités en matière de sécurité au sein de votre organisation). Cela peut sembler relever d'un véritable tour de passe-passe. Mais vous devez vous engager dans le processus, apprendre de vos erreurs et de celles des autres. À l'instar de DevOps, DevSecOps doit être un processus itératif d'apprentissage et d'amélioration. DevSecOps consiste également à choisir les bons outils pour automatiser vos processus de sécurité et fournir un retour d'information rapide, et PagerDuty peut vous aider dans cette transformation.

Vous souhaitez en savoir plus sur la mise en œuvre réussie de DevSecOps au sein de votre organisation ? Consultez le Étude de cas Datadog .