X

News Partenaire

Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

A l’heure où le règlement général sur la protection des données va entrer en application, entreprises et administrations se demandent toujours comment procéder. Certaines décident d’y aller seules, d’autres se tournent vers des hébergeurs cloud pour les aider et les accompagner. Agarik assume ce rôle en mettant en avant son expertise en matière de sécurité.

Dev·Fin·Leg·Sec·Ops ? Bonjour l'agilité !

Un avenir radieux s'annonce pour l’automatisation par le DevOps. Je modérerai cet enthousiasme devant les difficultés à venir dans la mise en œuvre de DevOps. Rien que l’ajout de la sécurité dans le cycle de développement va obérer des chiffres prometteurs.

Les colonnes des gazettes informatiques ou de management en sont remplies ! Le DevOps est le nouveau Graal des services informatiques permettant enfin, après des décennies, d’aligner les emplois du temps des services métier et de l’informatique. Grâce à cette méthode, pas de versions à date fixe mais enfin des applications qui suivent le rythme des besoins du marketing, des ventes, du service RH… Bref, le bonheur permanent grâce à l’intégration et au déploiement continu des applications pour soutenir l’activité de l’entreprise.

Première mise au point, cette magnifique envolée ne concerne que les nouvelles applications. Les anciennes, les « vilaines » applications dites « Legacy » dans le nouveau novlangue, restent cantonnées au surannée plan en V, pour leurs développement et mises à jour. Bien sûr elles vont vite être rattrapée par le DevOps et vont, elles aussi, se soumettre à ce rythme en continu pour avoir un avenir dans le Cloud. Là surgit le premier ajout d’importance au DevOps, le Sec ! Car qui dit Cloud, dit données qui se baladent vers le Cloud privé – ou non. Il n’en reste pas moins que les données bougent et, si c’est sur un Cloud public, Horreur !, Malheur !, tout doit être sécurisé. Donc, dans les sprints effrénés, les développeurs doivent inclure la sécurité. On sent déjà que la course devient moins facile et plus lente. En effet, comment, en plus des tests habituels, ajouter le scan de vulnérabilité, la révision du code, la montée en charge et autres éléments constitutifs de la sécurité.

Vérifier la conformité en continu

Qui dit sécurité dit aussi respect de la législation et des règles de conformité. Et là arrive le deuxième bloc ; le légal ! Donc, comment l’application et ses différentes versions maintiennent par exemple le respect sur les données personnelles, la conformité aux différentes règles qui deviennent toujours plus nombreuses. Car, dans un déploiement et des développements continus il ne s’agit pas de voir si la première version est compatible avec le cadre légal ou réglementaire mais à chaque version il convient de vérifier la chose. Intéressant de voir si les services juridiques des entreprises vont regarder si les applications ou si les personnes en charge de la conformité vont avoir leur mot à dire dans le DevSecOps ! Le rythme de l’analyse de tout cela n’est pas forcément compatible avec le rythme des sprints. Allons-nous voir de magnifiques applications être bloquées parce que ne respectant pas le futur RGPD sur certains points ?

Dernier élément, et non le moindre, le coût de tout cela et la facture prévisionnelle dans le Cloud. Si l’agilité, la flexibilité apportée par le Cloud, sont les éléments les plus recherchés par les entreprises, il convient de voir si tout cela est économiquement rentable. Certains, à la vue des premières factures sur le Cloud public, ont évité de peu de s’étrangler. On voit poindre le nouvel acronyme de FinOps, en gros un contrôleur de gestion mâtiné d’acheteur pour comprendre et choisir le Cloud idoine pour poster la super application qui sera donc développée en DevLegFinSecOps ! Sans vouloir présumer de ce qui adviendra, il semble cependant que l’addition de couches n’aide pas forcément à l’agilité et encore moins à la rapidité et à la flexibilité. En l’état actuel, les entreprises ont déjà du mal à mettre réellement en place le DevOps sur l’ensemble de leur périmètre et n’ont pas encore ajouté le FinLegSec !

L’organisation et la coordination de l’ensemble est une autre question à laquelle les entreprises devront un jour ou l’autre répondre pour arriver aux buts affichés du simple DevOps. Elles devraient s’y mettre rapidement puisque 70 % des DSI vont « conforter leurs développements agiles, en privilégiant le Design Thinking et l’approche DevOps. Cette dernière fusionnant le développement et l’exploitation de logiciels. En 2019, 60 % des DSI finaliseraient la réorganisation de l’infrastructure et des applications utilisées par leur entreprise. Et ce en privilégiant le Cloud, les technologies mobiles et la dynamique DevOps », selon un article paru sur le site de Silicon.fr citant des analyses du cabinet IDC. Toujours selon la même source, 40 % vont adopter de nouveaux modèles de gouvernance numérique pour accélérer l’innovation et la vitesse des déploiements. Et imposer leur vision auprès des comités de direction. Comme dit l’adage, l’espoir fait vivre.

D’une version à l’autre, changer de Cloud ?

Pour bien comprendre le phénomène, nous pouvons regarder ce que font les bons élèves de la classe DevOps. Amazon assure en moyenne chaque seconde une livraison. Etsy, une plate-forme d’e-commerce, déploie 50 modifications par jour. Netflix réalise des milliers de déploiements quotidiens et CocaCola a accéléré la livraison de 50 % pour ses projets. Ces chiffres s’entendent sans tenir compte de la sécurité, de l’analyse des coûts de la mise en œuvre dans le Cloud ni sur les aspects légaux des applications mises en œuvre. Tous prévoient donc un avenir radieux à l’automatisation par le DevOps. Je modérerai cet enthousiasme devant les difficultés à venir dans la mise en œuvre de DevOps. Rien que l’ajout de la sécurité dans le cycle de développement va obérer ces chiffres si prometteurs.

Le DevOps n’est pas seulement un moyen d’automatisation mais il s’agit d’un ensemble de bonnes pratiques ayant pour but de livrer des logiciels en production de façon rapide, sûre et mesurable.

Si vous devez y ajouter la sécurité mais aussi le contrôle de légalité et le coût du déploiement dans le Cloud, je ne suis pas sûr que l’élément « rapide » puisse être atteint. Cela sera certainement mesurable et plus sûr, mais un élément important du DevOps sera perdu. Ou alors, il faudra faire sans que cela soit sûr ou rentable ou conforme aux règles légales. C’est sans compter que la justification du DevOps est aussi de s’adapter au contexte changeant de l’entreprise. Mais le contexte légal et la guerre des prix dans le Cloud vont faire que les entreprises d’une version à l’autre vont changer de Cloud. De nombreux outils comme C3DNA, Cloudendure, Elastifile, VMware permettent aujourd’hui de migrer sans trop de difficulté d’un Cloud à l’autre. L’adhérence par le poids des données dans le Cloud ne sera pas suffisant devant les sommes en jeux, d’où le besoin du FinOps qui se rajoutera au DevSecOps. Et finalement tout cela ne sera qu’affaire de contrat, et là, votre service juridique entrera dans la danse. Bienvenue dans le DevFinLegSecOps, mais l’agilité ne sera certainement plus un élément de choix ! 

Article publié dans le n°163 de L'Informaticien.



Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Actuellement à la Une...

A votre avis...

Les alternatives à GitHub

Les alternatives à GitHub

Microsoft venant tout juste d’officialiser le rachat de GitHub, certains usagers de la plate-forme seront sans doute tentés de chercher des alternatives. Nous allons voir dans ces lignes quelles plates-formes peuvent la remplacer et...

GitHub by Microsoft

GitHub by Microsoft

Près de 70 millions de projets open source hébergés par Microsoft ! L’acquisition de GitHub a soulevé une levée de boucliers dans les communautés open-source, avec le risque de voir le repository...

RSS
Afficher tous les dossiers

SÉCURITÉ IT : LES ENJEUX POUR 2019 - Quel O.S. pour l'auto numérique ? - GENZ, le serveur du futur - Rencontre avec Mounir Mahjoubi - Préparer l'après RTC - Au coeur d'Hexatrust : IDnomic ou l'identité innovante - Langages informatiques : quoi de neuf ? - Digital Learning Manager, le métier qui monte...

 

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

BÂTIR LA MAISON INTELLIGENTE - GitHub by Microsoft + alternatives - FIDO2, l'après mot de passe - Open Street Map alternative à Google Maps ? - Java 10/Java 11 ne loupez pas le train - Marseille, 1er port numérique européen ? - OpenClassrooms : l'e-learning "non élitiste" à la conquête du monde...

 

Afficher tous les derniers numéros

Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Tous les Livres Blancs
Derniers commentaires
Le PDG d'Atos, Thierry Breton, à l'Elysée le 17 juillet 2018Le géant informatique français Atos a revu en baisse sa prévision de croissance pour 2018, plombé notamment par des déboires aux Etats-Unis et en Allemagne. [Lire la dépêche...]

Le PDG d'Atos, Thierry Breton, à l'Elysée le 17 juillet 2018Le géant français de l'informatique Atos a abaissé mardi à 1% sa prévision de croissance organique pour son chiffre d'affaires en 2018, alors qu'il visait au moins 2% précédemment. [Lire la dépêche...]

Des bitcoins dans une boutique à Tel-Aviv, le 6 février 2018 en IsraëlDevise dématérialisée, au créateur inconnu, sans autorité centrale et sans frontière: le bitcoin ne rentre pas vraiment dans les cases traditionnelles des législateurs et répond, à l'instar de ce qui se passe aux États-Unis, à un assemblage confus de réglementations. [Lire la dépêche...]

Une représentation visuelle de la crypto-monnaie Bitcoin dans une boutique de Tel-Aviv, le 6 février 2018 en IsraëlLe 31 octobre 2008 naissait le bitcoin, la première monnaie virtuelle décentralisée. Dix ans plus tard, la principale cryptomonnaie nourrit un complexe écosystème mais peine toujours à convaincre dans la sphère économique. [Lire la dépêche...]

Des bitcoins, le 20 novembre 2017 à LondresEn dix ans, le bitcoin a réussi le tour de force de se faire une place dans le monde financier et sur la scène médiatique. Mais comprendre son fonctionnement n'est pas toujours aisé pour les profanes. [Lire la dépêche...]

Facebook a fermé lundi 68 pages et 43 comptes liés à un groupe brésilien qui serait, selon un quotidien de Sao Paulo, lié au favori d'extrême droite à l'élection présidentielle de dimanche, Jair Bolsonaro. [Lire la dépêche...]

Un développeur à créé l'appli SnapCrap, pour photographier les déjections canines dans les rues de San FranciscoSan Francisco, ville de la "tech" et ... des crottes. C'est ce qui a poussé un développeur à créer l'appli SnapCrap, pour photographier les déjections canines et humaines sur la voie publique et demander en temps réel le passage de la voirie. [Lire la dépêche...]

Susan Wojcicki, la PDG de Youtube, le 15 octobre 2018 à San FranciscoYoutube a demandé lundi aux Youtubeurs de s'engager à ses côtés contre le projet européen de réforme du droit d'auteur, qui vise à inciter les géants du net à mieux rétribuer les auteurs de contenus originaux. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

WEB SUMMIT

Le Web Summit réunit plus de 70000 participants et 1200 conférenciers du 5 au 8 novembre 2018 à Lisbonne (Portugal), Altice Arena. Organisé par Connected Intelligence Ltd.

EXPERIENCES

Microsoft Experiences 18, « l'événement de l'intelligence numérique », aura lieu les 6 et 7 novembre 2018 à Paris, palais des congrès de la porte Maillot. Organisé par Microsoft.

MAKER FAIRE

Du 23 au 25 novembre 2018, la Cité des sciences et de l’industrie à Paris accueille pour la deuxième fois la Maker Faire Paris. Organisée par Leroy Merlin.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

CLOUD EXPO EUROPE

Conjointement avec Data Centre World, Cloud Security Expo et Smart IoT Paris, le salon Cloud Expo Europe se tient les 27 et 28 novembre 2018 à Paris, Porte de Versailles. Organisé par CloserStill Media.
RSS
Voir tout l'AgendaIT