Les professionnels de la sécurité et des DevOps ne connaissent pas assez bien leur infrastructure IT. D’après une étude CyberArk publiée le 28 février dernier, seuls 1% de ces spécialistes seraient capables d’identifier tous les emplacements qui comportent des secrets ou des comptes administrateurs. Faute de stratégie de sécurisation dans leur entreprise, les DevOps mettent en place leurs propres outils.
La cybersécurité reste le parent pauvre du développement numérique. Près d’une entreprise sur deux (46%) n’y consacre pas le budget nécessaire même après avoir subi une cyberattaque, déplore CyberArk. Dans son rapport annuel 2018 publié le 28 février dernier, l’entreprise interroge 1 300 responsables IT qui travaillent dans 7 pays différents.
#ThreatSurvey: #Cloud drives biz advantages & questions about #security accountability: https://t.co/aa7AKCqqzm
— CyberArk (@CyberArk) March 23, 2018
Manque de stratégie des entreprises
Les entreprises privilégient trop souvent la productivité, aux dépens de la cybersécurité. Plus d’une sur trois (36%) conserve les accès et mots de passe de ses comptes utilisateurs sur de simples fichiers Word ou Excel. Cette négligence favorise les fuites de données, mais complique aussi le travail des DevOps. Ces professionnels y perdent souvent leur latin.
Pourtant, « le développement des DevOps impose la nécessité de concevoir et de déployer de nouveaux processus de sécurité », prévient Elizabeth Lawler, Vice President DevOps Security chez CyberArk, dans les colonnes de Programmez. 79% des DevOps français indiquent que leur entreprise ne dispose d’aucune stratégie pour sécuriser les comptes administrateurs.
Les DevOps optent pour leurs propres solutions
Les pros de la sécurité et des DevOps souffrent d’un manque de visibilité au niveau de leur architecture IT. Ces équipes ignorent l’existence de répertoires qui recensent en clair les accès aux environnements Cloud (93%), aux comptes administrateurs ou aux secrets (89%). Ils ignorent aussi que des micro-services (81%) ou des outils CI/CD (78%) peuvent en contenir.
Près d’un développeur sur quatre (37%) désigne le piratage comme la principale menace qui pèserait sur leur organisation. La moitié des entreprises (54%) utilisent un service extérieur payant pour garantir leur sécurité. Seuls 21% des DevOps français ont conçu leur propre stratégie de sécurité pour protéger leurs projets. Un défaut à corriger au plus vite.