La sécurité des application se déplace vers la gauche. Par conséquent, les équipes DevOps sont de plus en plus responsables de la sécurité. Bien que l’expertise DevOps en matière de processus de cycle de vie de développement leur permette d’introduire efficacement les exigences de sécurité au début du cycle de vie du logiciel, ces équipes peuvent ne pas disposer des ressources nécessaires pour anticiper les menaces, ni d’une expertise suffisante pour mettre en œuvre les différentes solutions et politiques de sécurité nécessaires pour protéger les applications modernes.
Les services de sécurité cloud natifs offrent aux développeurs DevOps et aux unités commerciales des options spécifiques à la plate-forme qui fonctionnent bien pour de nombreuses exigences application . Cependant, à mesure que les organisations adoptent de plus en plus de solutions multicloud, les coûts de ces services natifs commencent à dépasser les avantages. Là où quelques services de sécurité suffisent sur une seule plateforme cloud, de nombreux services de sécurité sont nécessaires pour fournir la même protection sur deux ou plusieurs plateformes cloud. Chaque plateforme a ses propres exigences en matière de gestion des identités, de politiques de sécurité, d’API et de procédures de gestion, ce qui réduit l’efficacité globale. L’amélioration de l’efficacité opérationnelle et de la sécurité est une priorité absolue pour les initiatives de transformation numérique de l’entreprise et les objectifs de leadership de l’entreprise.
La complexité de mise en œuvre et de gestion associée aux services de sécurité natifs constitue la première source importante d’inefficacité opérationnelle. Les difficultés liées à la gestion de tous les composants de plusieurs services de sécurité natifs peuvent avoir de graves conséquences négatives pour une entreprise. Des failles de sécurité dans les mauvaises configurations ont été exploitées dans 66 % des attaques (soit par des attaquants exploitant une faille dans le pare-feu de l' application Web pour accéder aux informations d'identification du compte, soit par des attaquants profitant d'une ressource mal configurée). Les ingénieurs DevOps ont pour mission d’identifier le délai de mise sur le marché le plus rapide possible. La réduction des frais généraux associés à la maintenance et à la compréhension des politiques de sécurité auprès de plusieurs fournisseurs de cloud peut permettre aux équipes DevOps de mieux concentrer leur attention et leurs ressources sur cet objectif.
Le passage à un fournisseur tiers capable de mettre en œuvre une politique de sécurité cohérente sur toutes les applications dans un environnement multicloud peut réduire considérablement la charge de travail liée à la mise en œuvre de la sécurité qui incombe aux équipes DevOps. L’utilisation de ce type de service peut réduire la fréquence à laquelle les erreurs de configuration de sécurité sont transmises aux environnements de production. Il simplifie l’intégration des politiques et des configurations dans les pipelines CI/CD en fournissant aux équipes DevOps un ensemble d’outils d’automatisation qui peuvent être utilisés pour la normalisation, ce qui, à son tour, permet d’intégrer les services de sécurité dans les chaînes d’outils d’automatisation d’entreprise existantes.
La faible visibilité de la sécurité de l’infrastructure cloud est une autre source d’efficacité opérationnelle réduite qui accompagne l’utilisation de services de sécurité natifs. Bien que les organisations bénéficient d’un déploiement plus rapide lorsqu’elles utilisent des services natifs, 36 % des personnes interrogées admettent que ces services natifs n’offrent pas une visibilité adéquate sur l’infrastructure de sécurité du cloud. Alors que les équipes DevOps assument de plus en plus le déploiement et la gestion de la sécurité des application , la supervision de la sécurité de l’entreprise et le reporting restent des responsabilités de SecOps. Les services de sécurité cloud distribués et natifs signifient que les rapports et analyses de sécurité seront également distribués et spécifiques au cloud par défaut. La nature distribuée des analyses brouille le paysage de sécurité du système dans son ensemble. Par conséquent, les équipes SecOps pourraient uniquement être en mesure de donner des recommandations isolées et spécifiques au fournisseur. L'utilisation de services de sécurité communs mis en œuvre via un fournisseur de sécurité multicloud standardisé garantit que les mêmes politiques de sécurité sont partagées entre toutes les applications. Cela permet à SecOps de faire des recommandations basées sur des analyses de sécurité partagées d'une manière qui profite à l'ensemble du système.
La nécessité d’adopter une stratégie de sécurité multi-cloud garantissant la conformité entre différents fournisseurs de cloud est une autre source d’inefficacité opérationnelle avec les services de sécurité natifs. Les équipes DevOps doivent se conformer aux exigences de sécurité internes et industrielles. Historiquement, les équipes InfoSec centralisées aident à établir et à auditer les contrôles de sécurité sur les applications, en particulier dans les organisations telles que les services de santé et financiers qui travaillent avec des informations personnelles sensibles ou protégées. Avec le déplacement vers la gauche de la sécurité des application , DevOps est désormais aussi responsable du maintien de l'alignement avec les exigences de sécurité de l'entreprise que SecOps. Il est difficile de maintenir les exigences de sécurité de l’entreprise lorsque les politiques de sécurité natives sont propres à un fournisseur de cloud spécifique, que ce fournisseur soit AWS, Azure ou Google Cloud. Les audits sont également rendus moins efficaces. Le déploiement de politiques de sécurité multicloud communes réduit le temps consacré à l’audit des configurations de sécurité. L’inclusion de solutions de visibilité peut permettre à une organisation de créer un guichet unique qui réduit la complexité des tests de conformité et améliore la collaboration entre les équipes.
Les changements dans les conventions de développement application ont augmenté les responsabilités liées à la sécurité qui relèvent du champ de compétence de DevOps. Par conséquent, il est plus exact de désigner ces équipes par le terme DevSecOps et de reconnaître cela comme faisant partie du modèle opérationnel de sécurité SecOps. L’utilisation continue de politiques de sécurité natives et spécifiques à chaque fournisseur ajoute une charge de gestion importante, éliminant ainsi une grande partie des avantages du modèle DevOps. La standardisation autour d’une solution de sécurité d’entreprise multi-cloud augmente l’efficacité opérationnelle et crée des opportunités de connexion avec de nouveaux partenaires de sécurité stratégiques, réduisant ainsi le risque de perte d’efficacité opérationnelle lors du passage à un environnement multi-cloud.