DevSecOps : mettez la cybersécurité au premier plan

DevSecOps est l'acronyme de' development, security and operations' (développement, sécurité et opérations), et son idée maîtresse est assez simple : garantir la sécurité des applications dès les premières étapes du cycle de vie du développement, et en faire une responsabilité partagée par toutes les parties concernées. Pour y parvenir, il faut un haut niveau d'automatisation et un changement mental important pour la plupart des équipes.

Un 'shift left' pour la sécurité

Comme vous l'avez peut-être deviné, DevSecOps ajoute essentiellement une dimension ‘sécurité’ au cadre DevOps largement connu. Ils ont également les mêmes objectifs de base : dépasser les silos traditionnels et faciliter la collaboration, réduire les délais de livraison et permettre la livraison continue de logiciels de haute qualité. 

Joachim Dheedene, responsable DevSecOps chez delaware, explique : « Par le passé, les équipes de développement, d'exploitation et de sécurité travaillaient toutes séparément et successivement sur les logiciels. Par conséquent, les problèmes de sécurité étaient découverts très tard dans le processus, voire pas du tout. Non seulement ces problèmes pouvaient interrompre l'ensemble du processus, mais ils nécessitaient souvent des mois de retouches de la part de l'équipe de développement, ce qui entraînait des retards considérables. Maintenant que les cycles de développement ne durent que quelques semaines ou quelques jours, cette approche cloisonnée n'est tout simplement plus évolutive. Avec DevSecOps, l'équipe de sécurité est impliquée dès le début, dans ce que l'on appelle un 'shift left'. »

L'automatisation : la pierre angulaire de DevSecOps

En pratique, DevSecOps ne serait pas possible sans un haut niveau d'automatisation. « Lorsque vous impliquez la sécurité à chaque étape du processus, vous devez valider et tester en permanence », explique Joachim. « L'automatisation rend l'ensemble du processus gérable. En même temps, elle nous protège contre la complaisance. En tant qu'humains et développeurs expérimentés, nous pensons souvent que nous pouvons prédire les résultats de chaque action que nous entreprenons, ce qui nous amène à négliger certaines choses. Mais les problèmes de sécurité sont toujours inattendus. En automatisant les tests de sécurité et la validation, nous ‘externalisons’ la discipline qu'il faudrait avoir pour être constamment vigilant. »

La mise en place de l'automatisation de la sécurité ne nécessite pas non plus un remaniement complet. « Il est préférable de commencer petit à petit, et d'élever la barre progressivement. Après tout, il ne sert à rien de créer une liste écrasante d'alertes de sécurité auxquelles personne ne prêtera attention au bout d'un moment. Il faut que la liste reste gérable et exploitable. N'oubliez pas : il est toujours plus sûr de faire quelque chose que de ne rien faire. Heureusement, des outils comme GitHub abaissent radicalement le seuil à partir duquel les organisations peuvent commencer à automatiser les processus. »

Tirez la sonnette d'alarme

Au final, cependant, le succès de DevSecOps dépend toujours des personnes qui le mettent en œuvre. Et tout comme pour DevOps, l'adhésion à ses principes nécessite un certain changement mental. Joachim : « La qualité et la sécurité doivent vraiment devenir le problème de tout le monde. Cela signifie également que, lorsqu'un problème est détecté au milieu d'un sprint de développement, vous devez être capable d'arrêter immédiatement ce que vous êtes en train de faire. La plupart des équipes n'ont pas l'habitude de faire cela. » 

« Tout comme l'Andon, le système d'alarme de Toyota, qui permettait à chaque employé de l'usine d'arrêter la production à tout moment, DevSecOps est un excellent moyen d'améliorer à la fois la qualité et la vitesse de livraison. Cela peut sembler contre-intuitif, mais il faut garder à l'esprit que chaque arrêt offre une opportunité immédiate d'amélioration, au lieu de laisser un problème se déplacer plus loin dans la chaîne où il deviendra beaucoup plus coûteux à résoudre. »

Amélioration continue

À une époque où les systèmes deviennent de plus en plus complexes, où les attentes et les exigences en matière d'applications sont très élevées et où nous assistons à une recrudescence sans précédent des risques de sécurité, DevSecOps offre le cadre idéal pour agir rapidement tout en améliorant la qualité. « Grâce à l'émergence d'outils comme GitHub, la partie automatisation de DevSecOps est assez facile à résoudre », poursuit Joachim. « C'est la partie concernant les personnes qui est la plus difficile. C'est pourquoi il est important d'avoir un défenseur de DevSecOps au sein de votre organisation. De cette façon, vous pouvez intégrer la sécurité dans votre démarche d'amélioration continue. »

Vous voulez améliorer la sécurité de votre organisation ainsi que la qualité et la rapidité de livraison avec un cadre robuste et agile ? En quelques jours seulement, nos experts peuvent vous mettre sur la bonne voie - coaching compris. Parlons-en.