Comment le DevSecOps promet de redéfinir l'industrie de la cybersécurité

Les méthodes des cybercriminels évoluent et, face à des attaques toujours plus perfectionnées, les équipes de sécurité informatique doivent combler les failles pour tenter de sauver le navire. L’approche classique ne suffit plus et les équipes, surchargées et limitées en ressources ont du mal à garder la tête hors de l’eau.

Les pratiques doivent constamment évoluer et la technologie a un rôle majeur à jouer. Avec une approche centrée sur la collaboration et la communication, la sécurité doit être prise le plus en amont possible dans un cycle de développement. Il s’agit là d’une manière de travailler et de penser radicalement différente – c’est ce que l’on appelle l’approche DevSecOps.

D’où vient l’approche DevSecOps ?

Les infrastructures ont évolué très rapidement ces dernières années, passant de monstres monolithiques à des architectures de micro-services basées sur des conteneurs et hébergées dans le cloud. Autrement dit, tout est désormais écrit sous forme de code.

Les problématiques et enjeux de sécurité évoluent et doivent s’adapter à la complexité des systèmes cloud. Pour pouvoir rester agile, l’entreprise doit intégrer la sécurité au cœur de son activité. Pour ce faire, il faut réunir au sein d’une entité unique des branches de l’entreprise qui, historiquement, ont toujours travaillé en silo.

Intégrer le “Sec” au processus DevOps

Jusqu’à récemment, la sécurité était un paramètre que l’on considérait a posteriori. Elle était souvent perçue comme un frein au DevOps et comme une entrave à la fluidité de l’activité. En émettant des réserves sur le déploiement de code ou la mise en production d’application à cause d’un niveau de sécurité insuffisant dans l’entreprise, les équipes de sécurité ont longtemps été mises à l’écart. Et ce car l’entreprise ne souhaitait pas subir les retards ou les coûts élevés liés aux correctifs de sécurité.

En réalité, l’incompatibilité historique entre la sécurité et le DevOps n’est pas une fatalité. Combiner les deux services pour former le DevSecOps permet d’intégrer la sécurité dans toutes les strates du développement applicatif, des process d’entreprise et plus largement de l’infrastructure, afin d’offrir à l’entreprise des solutions de qualité. Les outils de sécurité protégeant les applications doivent être automatisés, transparents pour les développeurs et doivent aussi permettre de réduire les tensions du pipeline des DevOps.

Avec le DevSecOps, la sécurité se retrouve ancrée au cœur de la chaîne de responsabilité, ce qui oblige les décideurs et cadres dirigeants à reconnaître l’importance de la sécurité, qui fait non seulement partie intégrante du processus de développement, mais constitue désormais le fondement même de l’entreprise dans son ensemble. En définitive, la sécurité est la responsabilité de chacun, même si certains n’en ont pas encore pris conscience. Heureusement, l’approche DevSecOps commence enfin à changer les mentalités.

Comment constituer une équipe DevSecOps ?

Il va sans dire qu’il ne suffit pas, pour monter une équipe DevSecOps, de regrouper deux équipes disparates et imaginer qu’elles vont immédiatement constituer une structure soudée.

Cette approche suppose tout d’abord que les équipes de sécurité développent de nouvelles compétences qui leur permettront de rester pertinentes sur le plan professionnel, au sein d’un environnement de plus en plus défini par les logiciels. Pour que tous les collaborateurs soient à la même page, il est donc indispensable d’investir en matière de formation, et de s’assurer que l’aspect de la sécurité ne soit pas négligé.

Désigner un "évangéliste" de la sécurité est également essentiel pour défendre le sujet en interne et faire prendre conscience des risques liés à une approche plus "classique". Cela permettra aux développeurs et aux équipes opérationnelles de bien comprendre pourquoi il est si impératif d’inclure la sécurité à chaque étape du développement.

Il pourra être utile à cet évangéliste d’insister sur les bénéfices plus larges du DevSecOps pour l’entreprise, notamment :

  • L’accélération des délais de mise sur le marché : une meilleure capacité à répondre aux besoins du marché et de l’entreprise grâce la production plus rapide de nouvelles applications avec une meilleure qualité de code, une plus grande stabilité et une sécurité « by design »
  • La réduction du niveau de complexité : moins de difficultés à protéger des défauts ou des failles lors des phases de développement ultérieures. 
  • L’évolutivité de l’infrastructure : libérée du temps consacré aux opérations quotidiennes chronophages, l’équipe peut se concentrer sur des services à plus forte valeur ajoutée en tirant parti de la conformité automatisée, des politiques de sécurité en place et des modèles d'infrastructure.

    • Le DevSecOps encourage également les collaborateurs à développer des compétences plus étroitement liées à la collaboration et à la communication. Si jusqu’ici on a souvent accusé la sécurité de rester confinée à son propre silo et de ne pas partager ses précieuses données avec les autres équipes opérationnelles, l’approche DevSecOps change la donne, parvenant à un niveau de transparence collaborative encore jamais vu entre ces entités autrefois disparates.

    Ainsi, le DevSecOps n’en est encore qu’à ses balbutiements et il faudra plusieurs années avant que la majorité des entreprises n’en perfectionnent l’approche. Il s’agit-là d’un processus itératif : il faut réussir à gérer les attentes, tout en confrontant ses erreurs pour s’améliorer avant d’entreprendre une nouvelle itération. Face à l’adoption massive des environnements cloud, l’approche DevSecOps ne fera que gagner en pertinence. La cybersécurité évolue pour suivre le rythme imposé par la digitalisation de l’entreprise.