DevSecOps, une évolution indispensable de DevOps
Les principes de base de la démarche Développement-Sécurité-Opérations sont bâtis sur l'idée que chaque intervenant dans le cycle de développement d’un logiciel, est également responsable de la sécurité.
S’il y a une raison pour laquelle Facebook, Netflix ou encore Spotify ont été qualifiées de licornes, c’est qu'elles sont bien parce qu’elles sont uniques dans leur secteur. Nombre de start-up concurrentes cherchent elles aussi à se hisser au premier plan et devenir le prochain Airbnb ou le nouveau Google. Mais si certaines arrivent rapidement à atteindre une célébrité tant attendue, c’est malencontreusement une faille de sécurité majeure qui les propulse dans les feux de l’actualité.Les failles de sécurité et les fuites de données sont de plus en plus fréquentes dans le monde interconnecté d'aujourd'hui. Au cours des dernières années, des entreprises de toutes tailles, y compris des mastodontes, ont connues d'importantes fuites de données, comme par exemple Yahoo, Equifax et Uber. Le plus inquiétant dans cette succession de défaillances vient du fait qu’à chaque fois, l’impact et les conséquences semblent encore plus importants. De toute évidence, le nombre de menaces augmente et il devient de plus en plus difficile de se protéger.
Ces ressentis sont appuyés par des statistiques particulièrement évocatrices. Selon le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN), 80% des entreprises françaises ont subi au moins une cyberattaque avérée, qui a réussi à toucher un ou plusieurs serveurs de la société. Pourtant, en même temps, 52% des responsables de la sécurité des systèmes d'information d'entreprises françaises se disent confiant dans la capacité de leur entreprise à faire face aux cyber risques. Les jeunes pousses qui espèrent devenir le prochain Google vont, avant tout, devoir faire face aux enjeux de la sécurité en les intégrant dans leur démarche DevOps.
Pourquoi DevSecOps devient-il indispensable ?Les principes de base de ce que l’on nomme DevSecOps (Développement-Sécurité-Opérations) sont bâtis sur l'idée que chaque intervenant dans le cycle de développement d’un logiciel, est également responsable de la sécurité. Si cela parait être une évidence, ce n’est pas toujours une réalité ! Les développeurs, en effet, se préoccupent en premier lieu des aspects fonctionnels d’une application, bien avant d’aborder les questions de sécurité. Et la pression des délais lors des itérations projets ne facilite pas la prise en compte de problématiques considérées comme périphériques. Le mouvement DevSecOps, cherche à transformer radicalement cet état d'esprit. Et c’est aujourd’hui vital, tant les applications et les problèmes de sécurité auxquels elles sont confrontées sont devenus complexes.
La chaîne de livraison des applications est un bon exemple de risque sur la sécurité. L’efficacité du déploiement des applications étant un facteur primordial pour réussir une initiative DevOps, l'automatisation y joue un rôle essentiel. Mais, si l’automatisation permet d’augmenter les cadences de release sans compromettre la qualité, elle peut également être la source de nouvelles vulnérabilités. Les tâches de déploiement automatisées requièrent très souvent l’utilisation de comptes utilisateur ayant un niveau d’accès « administrateur ». Chacun de ses comptes constitue potentiellement une porte dérobée pour accéder au système d’information, multipliant exponentiellement les risques pour l’entreprise. On voit très bien qu’une gouvernance est nécessaire dès les phases amont, car même si la sureté des développements n’est pas en cause, du code malicieux peut être injecté à tout moment lors des déploiements. Il faut donc s’interroger sur la durée de vie de ces accès, la fréquence à laquelle ils sont contrôlés et sur la façon dont on les référence, afin qu’ils ne soient pas tout simplement oubliés.
DevSecOps vise à aborder proactivement les risques liés à la sécurité, avant qu’ils ne se transforment en problèmes plus sérieux. Les approches traditionnelles en matière de sécurité sont généralement lourdes et fastidieuses. Par ailleurs, les contrôles sont souvent introduits très tard dans le processus de déploiement, ou lors de la suspicion d'une vulnérabilité. L’idée fondatrice de DevSecOps consiste à encourager l’ensemble des intervenants à considérer les aspects relatifs à la sécurité « à priori » tout au long du cycle de développement, pour éviter d’avoir les gérer « à posteriori » dans un mode « boite noire ».
L’adoption des principes DevSecOps prend du temps, et nécessite une évolution aussi bien culturelle qu’organisationnelle. Pourtant les bénéfices que l’on peut attendre de cette approche sont plus importants que les inconvénients. L’enjeu consiste en effet à réduire les coûts relatifs à la sécurité tout en limitant les risques de vulnérabilité. Une dualité qui résonne parfaitement avec DevTestOps où l’on cherche à accélérer la cadence de l’innovation tout en préservant la qualité. Dans les deux cas de figure, le mot d’ordre est ‘shift-left’, c’est-à-dire qu’il faut traiter les problématiques le plus en amont possible pour en limiter les impacts ultérieurs. Sage recommandation pour qui s’est convaincu de ne pas remettre au lendemain ce qui peut être fait le jour même. Finalement, parlons-nous tout simplement d’un remède miracle contre la procrastination ?