Les avantages d'une approche DevSecOps de l'innovation

Les responsables IT doivent repenser les applications et leur sécurité. Aujourd'hui, les équipes de développement et de sécurité travaillent en silos. Il est temps de passer à une approche DevSecOps.

Ces deux dernières années, les entreprises, tous secteurs confondus, ont dû accélérer le développement de leurs applications afin de s’adapter et de répondre à la nouvelle donne du marché et aux besoins évolutifs des utilisateurs pour des expériences numériques toujours plus personnalisées et intuitives. Les responsables IT ont tiré parti des technologies cloud natives et des plateformes low-code et no-code pour accélérer les mises sur le marché de nouvelles versions et créer des applications plus dynamiques sur davantage de plateformes.

Le volume considérable d'applications réparties entre de multiples entités a rendu extrêmement difficile le contrôle de la sécurité tout au long du processus DevOps. En réalité, les équipes de sécurité sont même souvent exclues délibérément de la phase de développement, par crainte qu'elles ne ralentissent les choses. 

Selon une récente étude Cisco AppDynamics, mondiale (12 pays dont la France) menée autour de la sécurité des applications, 90% des responsables IT français ont admis que ces deux dernières années, l’innovation aura été privilégiée pour répondre aux besoins des utilisateurs, au détriment de la sécurité des applications durant leur phase de développement.

Par conséquent, les responsables IT sont conscients que leurs applications sont désormais plus vulnérables aux nouvelles menaces de cybersécurité et avec une surface d’attaque étendue. Et les implications de cette situation sont potentiellement paralysantes. Les entreprises risquent des interruptions de service et des pannes importantes dues aux cyberattaques, entraînant une perte de clients, de réputation et de revenus.

En réponse, les responsables IT s'orientent en urgence vers une approche DevSecOps, où la sécurité est intégrée tout au long du cycle de développement.

Un besoin de collaboration entre les équipes de développement et de sécurité

Le principal problème pour de nombreux départements IT réside dans le fait que les équipes de sécurité n'interviennent qu'à la fin du processus de développement. Moins d'un quart des départements informatiques encourage actuellement une collaboration permanente entre les équipes opérations (ITOps) et sécurité. Et dans 41% des cas, les équipes ITOps ne collaborent éventuellement avec les équipes de sécurité que lorsqu'il y a un problème potentiel.

Cette approche cloisonnée entraîne des temps de réaction trop lents pour résoudre les incidents de sécurité et de performances applicatives médiocres. C'est pourquoi de plus en plus de départements adoptent une approche DevSecOps, pour intégrer dès la première étape du développement, les tests de sécurité et de conformité des applications. Ce changement de méthode s'appuie en grande partie sur l'automatisation, pour détecter et bloquer les problèmes de sécurité au moment de l'exécution, en intégrant l’intelligence artificielle (IA) dans le processus de sécurité des applications. Mais cette transition repose également sur une évolution de la culture d’entreprise, de sorte que les équipes opérations et sécurité opèrent côte-à-côte, en acceptant et comprenant les contributions des uns et des autres. 

Les responsables IT considèrent désormais que le DevSecOps est essentiel pour se protéger contre une attaque en plusieurs étapes sur l’ensemble de leur stack applicatifs. Fait encourageant, les entreprises françaises font d’ores et déjà des progrès significatifs vers cette méthode de travail : 35% des départements informatiques ont déjà commencé à adopter une approche DevSecOps et 53% l’envisagent actuellement.

Les avantages du DevSecOps

L'étude Cisco AppDynamics met notamment en évidence quatre avantages clés d'une approche DevSecOps pour les responsables informatiques :

  • Amélioration de la sécurité et réduction des risques

Le DevSecOps permet de partager les responsabilités autour de la sécurité et oblige les développeurs à identifier et à hiérarchiser les problèmes de sécurité à chaque étape du développement, au niveau de l’application elle-même. Il en résulte des applications mieux sécurisées et une meilleure gestion de la sécurité, avant, pendant et après la mise sur le marché. 

  • Des temps de développement plus rapides pour favoriser l’innovation

L'automatisation est la clé d'une stratégie DevSecOps réussie. Une automatisation robuste renforce les postures de sécurité en utilisant l'intelligence artificielle (AIOps), en identifiant les menaces et en les résolvant sans faire appel à un administrateur. Et ainsi réduire les erreurs humaines, d'accroître l'efficacité et d'améliorer l'agilité du développement, ce qui permet aux équipes de déployer des applications encore plus rapidement (time-to-market amélioré). Les entreprises peuvent ainsi renforcer leur sécurité, sans sacrifier l’innovation.

  • Une collaboration améliorée

Avec une approche traditionnelle en silos, il est plus difficile d'équilibrer les priorités concurrentes que sont la vitesse, la performance et la sécurité. Ceci peut affecter le moral et les performances des équipes. La collaboration permet aux responsables IT d'établir de nouveaux liens, d'acquérir de nouvelles compétences et de devenir des professionnels plus complets. Elle permet également de créer un environnement de travail plus inclusif et plus agréable.

  • Amélioration de la qualité du code grâce à l'implication des équipes de sécurité

Le DevSecOps permet d'éviter que la sécurité ne retarde la mise en ligne des applications à la toute dernière minute ou, pire encore, que les vulnérabilités liées au code ne soient identifiées qu'une fois l'application lancée. 

En garantissant et en introduisant les tests de sécurité plus tôt dans le processus de développement, les équipes de sécurité peuvent analyser et évaluer les risques et les priorités en matière de sécurité pendant les phases de planification afin de définir proprement les bases du développement. 

Le passage à une méthode DevSecOps est désormais urgent pour les responsables IT. Les équipes informatiques doivent s'assurer qu'elles disposent des outils, des structures et des processus nécessaires pour adopter une approche plus proactive de la sécurité des applications, tout au long de leur cycle de vie.