Pas de place pour les silos en matière de sécurité

Tout a commencé avec DevOps. Ensuite, il y a eu NetOps. Maintenant SecOps. Ou est-ce DevSecOps ? Ou peut-être SecDevOps ?

Quel que soit le nom que vous décidez de lui donner, trop souvent, le résultat final n’est guère plus que les mêmes vieux silos avec de nouveaux noms brillants. Nous sommes devenus tellement concentrés sur « comment appelons-nous ces gens » que nous oublions parfois « ce que nous essayons d’accomplir ».

Le Grand Barde l'a dit pour la première fois dans son commentaire sur une rose : elle sentirait aussi bon sous n'importe quel autre nom. Appliquons cela aujourd’hui au nombre de factions qui augmentent dans le jeu des opérations. Changer de nom ne sert à rien si vous ne changez pas vos comportements et pratiques fondamentaux.

À l’époque où le cloud est apparu (c’était un jeu de mots), de nombreux experts ont rejeté les efforts des entreprises pour créer un cloud privé (sur site). Parce que cela ne correspondait pas à la définition précise qu’ils voulaient associer au cloud. Ils ont ignoré que le résultat était la mesure du succès, et non la mesure de la définition pédante de quelqu'un d'autre. Ils recherchaient l’agilité, l’efficacité et la rapidité en changeant la façon dont l’infrastructure était provisionnée, configurée et gérée. Ils ont changé leurs comportements et leurs pratiques grâce à l’utilisation de la technologie.

Aujourd’hui, la guerre des terminologies se concentre sur les X-Ops et ce que nous devrions appeler la dernière nouveauté, la sécurité.

Je sais que j’ai utilisé ces termes, et parfois je les utilise tous en même temps. Mais peut-être avons-nous besoin de moins de distinctions. Peut-être devrais-je simplement dire que soit vous adoptez des « opérations modernes » en termes de comportements et de pratiques, soit vous restez des « opérations traditionnelles » et c'est tout.

Les opérations modernes utilisent des technologies telles que le cloud et l'automatisation pour créer des pipelines qui codifient les processus afin d'accélérer la livraison et le déploiement des applications.

Et ils le font en changeant les comportements et les pratiques. Ils sont collaboratifs et communicatifs. Ils utilisent la technologie pour moderniser et optimiser des processus vieux de plusieurs décennies qui entravent la livraison et le déploiement. Ils travaillent ensemble, et non au sein d’équipes X-Ops cloisonnées, pour atteindre leur objectif de versions plus rapides et plus fréquentes qui apportent de la valeur à l’entreprise et ravissent les consommateurs.

Se concentrer sur ce qu'il faut appeler la « sécurité » au moment de l'intégration des opérations modernes peut être préjudiciable au principe de base selon lequel la livraison et le déploiement ne peuvent réussir rapidement qu'avec une approche collaborative. Affecter de nouvelles étiquettes à une nouvelle équipe ciblée ne fait que créer des silos différents ; cela ne les brise pas et n'ouvre pas les lignes de communication nécessaires pour fonctionner à grande vitesse et à grande échelle.

Cela donne également involontairement la permission à d'autres opérations non liées à la sécurité d'abdiquer leurs responsabilités de sécurité au profit de l'équipe <SecDevOps | DevSecOps>. Parce que c'est dans leur nom, n'est-ce pas ?

C’est une idée de plus en plus mauvaise étant donné que la sécurité des application est une pile et nécessite donc une pile complète pour implémenter les bonnes protections.  Vous avez besoin d’une sécurité réseau et d’une sécurité des transports et vous avez certainement besoin d’une sécurité des application . La surface d’attaque d’une application comprend les sept couches et, de plus en plus, la pile constituant son environnement opérationnel. En matière de sécurité, il n’y a pas de place pour les silos.

L’objectif de l’informatique dans sa transformation numérique doit être de moderniser les opérations – de la technologie aux équipes qui l’utilisent pour innover et apporter de la valeur à l’entreprise. Les opérateurs modernes ne se préoccupent pas des titres, ils sont passionnés par la production de résultats. Les opérations modernes travaillent ensemble, communiquent librement et collaborent entre elles pour créer un pipeline de livraison et de déploiement efficace et adaptatif.

Cela nécessitera une expertise en réseau, en sécurité, en infrastructure, en stockage et en développement travaillant ensemble.

Dans le réseau, nous utilisons des étiquettes pour étiqueter le trafic et appliquer des politiques qui contrôlent quels appareils peuvent communiquer avec quelle infrastructure et quelles applications. Dans les clusters de conteneurs, nous utilisons des étiquettes pour isoler et restreindre, pour contraindre et pour interdire.

Les étiquettes dans les organisations peuvent avoir le même effet.

Alors peut-être serait-il préférable de dire simplement que vous êtes des opérations modernes ou des opérations traditionnelles. Et que certains sont dans une situation de transition entre les deux. Arrêtons de passer autant de temps à réfléchir à la manière dont nous nous appelons les uns les autres, au point de rater l’opportunité de créer un environnement collaboratif dans lequel livrer et déployer des applications plus rapidement, plus fréquemment et surtout, en toute sécurité.