Le développement de logiciels et les pipelines DevSecOps sont des cibles populaires pour les pirates. Ils peuvent être mieux protégés en utilisant le framework NIST.
« La manière dont les logiciels sont développés évolue constamment, avec de nouvelles méthodes augmentant l'efficacité du processus de développement. L'architecture logicielle évolue également, de sorte qu'une grande partie des logiciels peut être construite à partir de composants standard réutilisables », a déclaré Tom Molden, CIO Global Executive Engagement chez Tanium.
Adapter les systèmes de contrôle pour les logiciels
« Pensez-y comme à la construction d'une maison préfabriquée, où les pièces standard peuvent être construites dans une usine avec une efficacité et une qualité bien supérieures, tandis que les parties vraiment précieuses et personnalisées de la maison sont laissées au constructeur ou à l'artisan sur place. À mesure que le monde du développement logiciel évolue rapidement, les opportunités de risques de sécurité se multiplient, ce qui signifie que les systèmes de contrôle conçus pour aider les entreprises à protéger les logiciels qu'elles développent et déploient doivent également s'adapter.
L'intégration constante et le déploiement constant (les nouveaux processus introduits dans le développement cloud natif) poussent les progrès à un niveau que les humains ne peuvent plus suivre. Même le meilleur ingénieur en sécurité des applications ne peut pas suivre un environnement en constante évolution.
NIST – protection égale pour toutes les personnes impliquées
Aussi longs soient-ils, les cadres du NIST sont utiles dans la mesure où ils adoptent une approche très complète des contrôles de sécurité : ils réfléchissent de manière approfondie et présentent de nombreuses informations détaillées. Une autre façon de voir les choses est qu’ils ont fait le travail pour vous – un cheval cadeau, pour ainsi dire. Un cadre de référence comme le NIST, si largement utilisé dans le monde, signifie que tous les acteurs impliqués dans la protection de l’environnement lisent la même partition musicale.
Tous les types de contrôles de sécurité impliquent généralement un certain niveau de composants manuels. À un moment donné, un cyberanalyste ou un opérateur doit examiner quelque chose et porter un jugement. L'implication du CI/CD est un niveau plus élevé d'automatisation dans le processus de développement logiciel, et le défi est généralement de savoir comment couvrir les étapes de l'automatisation qui sont normalement effectuées par un humain.
Divers frameworks NIST
Il sera probablement très difficile de continuer à prendre en charge le développement de logiciels cloud natifs et existants à l’avenir. L'évolution du cloud a imposé une standardisation et permis des gains d'efficacité que l'on ne trouve généralement pas dans le monde du développement traditionnel. Le développement de logiciels existants s'effectue dans tellement d'environnements différents et de tellement de manières différentes qu'il est difficile d'imaginer un réoutillage. Si j'avais un euro de côté, je l'investirais dans un développement plus rapide vers le cloud et les devsecops au lieu d'essayer de réparer quelque chose de manière rétroactive.
Il existe de nombreux types de frameworks NIST et il est utile de comprendre comment ils fonctionnent ensemble. Je pense qu’une présentation au niveau des dirigeants des principales conclusions de l’environnement de contrôle du NIST serait utile – pour montrer comment ce nouveau cadre est lié aux autres.
Plus sur Tanium.com
À propos de Tanium Tanium, le seul fournisseur de gestion convergente des terminaux (XEM) du secteur, est à l'avant-garde du changement de paradigme dans les approches traditionnelles de gestion des environnements de sécurité et de technologie complexes. Seul Tanium protège chaque équipe, terminal et flux de travail contre les cybermenaces en intégrant l'informatique, la conformité, la sécurité et les risques dans une seule plateforme. La plate-forme Tanium offre une visibilité complète sur tous les appareils, un ensemble unifié de contrôles et une taxonomie commune.
Articles liés au sujet