Pourquoi l'open source rend les entreprises plus sûres et plus innovantes
Véritable catalyseur d'innovation, l'open source aide les développeurs à collaborer et à créer des logiciels meilleurs et plus sûrs, de manière bien plus rapide.
Les logiciels open source sont omniprésents dans nos objets et services du quotidien. En effet, 99% des projets logiciels, quel que soit le secteur d’activité, contiennent aujourd’hui un composant open source. Véritable catalyseur d'innovation, l’open source aide les développeurs à collaborer et à créer de logiciels meilleurs et plus sûrs, de manière bien plus rapide.
L’open source : carburant d’une société qui se digitalise rapidement
L’innovation est un enjeu vital pour notre économie et pour notre société. C’est la raison pour laquelle développer des logiciels qui les aident à croître et à prospérer est un besoin vital pour les entreprises. Dans cette perspective, au risque d’énoncer une évidence, la sécurité est aussi fondamentale qu’urgente. Ceci est encore plus vrai dans un contexte où la pandémie a accentué la digitalisation de notre économie. Ce n’est pas un hasard si les préoccupations des dirigeants d’entreprises en matière de sécurité sont plus fortes depuis quelques mois. Un récent rapport mondial de PwC confirme cette tendance : il révèle que les investissements des organisations dans le domaine de la cybersécurité sont en pleine croissance : 69 % des organisations prévoient une augmentation de leurs dépenses en 2022, contre 55 % l'année dernière[1].
Open source : quand innovation rime avec sécurité
Pour stimuler l'innovation, tout en veillant à la sécurité, les entreprises sont de plus en plus nombreuses à se tourner vers les logiciels libres. Pourtant, certaines idées préconçues laissent à penser que ceux-ci sont moins sûrs que les logiciels propriétaires, sous le prétexte qu’ils sont ouverts à tous ceux qui veulent les utiliser. Cette perception a été mise en évidence par une étude de Red Hat l’année dernière. Celle-ci a montré que le principal obstacle à l'adoption de l'open source par les entreprises est la conviction que cette approche engendre des problèmes de sécurité. En réalité, cette vision est totalement déconnectée de la réalité. En effet, des recherches récentes[2] ont révélé que le niveau de sécurité est plus avancé au sein des entreprises qui utilisent l'open source. Ceci s’explique par le fait que, lorsqu’il s’agit de développer et de maintenir un code sécurisé, la responsabilité collective de la communauté open source est bien plus efficace que l’approche propriétaire.
La force de la communauté
Avec l'approche open source, le nombre de développeurs impliqués dans l'identification et la correction des problèmes de sécurité est exponentiel. En outre, étant désireux de faire connaître leurs contributions, ces derniers sont incités à identifier et à corriger les failles des logiciels sur lesquels ils ont travaillé, avant même la mise en ligne. L'adage selon lequel "des yeux nombreux engendrent des bugs superficiels" est donc tout à fait vrai. Afin de s’atteler à renforcer la sécurité de l'ensemble de leurs opérations et à mettre en place les bons processus de développement pour soutenir celles-ci, il est donc essentiel que les entreprises sachent quels types de logiciels leur organisation consomme. En effet, qu’elles en soient conscientes ou non, nombre d’entre elles utilisent d’ores et déjà de nombreux logiciels libres dans leur processus de développement.
Intégrer la sécurité à chaque étape du développement
L’open source offrant des avantages majeurs en matière de sécurité, les organisations sont fortement invitées à s’en inspirer. En adoptant une approche plus progressive de l'intégration de la sécurité, une caractéristique clé de la conception des logiciels libres, elles augmentent leur vitesse d'innovation et reprennent le contrôle de leur cybersécurité. Il y a un an ou deux, c’est le vocable de DevOps qui était utilisé. Selon cette logique, les équipes de développement et celles en charge de l’exploitation d’un logiciel étaient intégrées dans les mêmes processus et utilisaient des outils identiques. Désormais, c’est de DevSecOps qu'il est question. Ce processus progressif et inclusif consiste à intégrer la sécurité à chaque étape du parcours DevOps, au lieu de tenter de la « verrouiller » à la toute fin du cycle de développement. Les entreprises sont ainsi en meilleure position pour protéger l'ensemble de leur organisation. Cerise sur le gâteau, elles voient même leur productivité et leur efficacité augmenter sensiblement. Des outils DevSecOps sophistiqués permettent par exemple aux organisations d'analyser le code au moment où il est créé. Elles obtiennent ainsi des évaluations de sécurité précises et exploitables, au sein même de l’environnement et du flux de travail des développeurs. Le code open source n'est pas le seul à faire l'objet d'un examen minutieux : le code interne de l'entreprise est également analysé.
Identifier les failles de sécurité instantanément et les corriger au fur et à mesure
Dans un environnement open source, les problèmes de sécurité sont révélés dans les « pull requests », lorsque dans le cadre du processus de fusion de deux morceaux de codes source, un examen de ces codes est effectué. Cette approche permet d'identifier plus facilement les problèmes de sécurité hautement prioritaires et qui pourraient être exploités par des personnes mal intentionnées. Les développeurs peuvent ainsi visualiser leur exposition au risque à travers leurs bases de code et se concentrer sur les vulnérabilités les plus préoccupantes. Cette approche est beaucoup plus efficace que le fait de simplement ajouter un processus de révision de la sécurité à la fin du cycle de développement, une pratique qui ralentit le développement et rend plus coûteuse la correction des vulnérabilités de sécurité. En somme, le principe est que plus tôt on constate un problème, moins coûteuse est sa résolution. Au quotidien, pour identifier et prévenir facilement les variantes de nouveaux problèmes de sécurité, il est très simple de créer des requêtes personnalisées. Des moteurs d'analyse tiers peuvent également être intégrés par les développeurs pour afficher les résultats de tous les outils de sécurité. Cet affichage s’effectue dans une interface unique, les résultats étant eux aussi exportés via une API unique.
Au-delà d’un outil, une culture communautaire de l’excellence
Il est important de souligner qu'en adoptant pleinement l’open source, les développeurs ont accès à tout ce dont ils ont besoin, non seulement en termes d’outils de sécurité disponibles, mais aussi en termes d’environnement et de culture. En effet, le fait que les outils accroissent la productivité permet aux développeurs d’avoir suffisamment de temps pour la collaboration et le partage. Ceci apporte donc des gains de productivité supplémentaires. C’est un cercle vertueux en somme. Ils résolvent les problèmes qu’ils rencontrent en échangeant avec d’autres développeurs qui partagent les mêmes convictions. C’est ainsi qu’au fur et à mesure des projets, ils apprennent, progressent et se perfectionnent. Ils s’épanouissent ainsi dans une culture communautaire riche en échanges. C’est l’open source qui permet cet objectif partagé et donne accès à cette communauté d’excellence.
L'open source doit être considéré comme un moyen d'aider les organisations à renforcer la sécurité des logiciels. Mais il y a beaucoup plus à gagner en allant plus loin et en mettant en place une stratégie DevSecOps tournée vers l'avenir. Une approche progressive et intégrée de la sécurité aide les organisations à opérer un changement culturel qui accroît la transparence, facilite la résolution des problèmes et stimule la collaboration. En plus de protéger l'entreprise, cette évolution apporte tous les ingrédients indispensables pour accélérer le rythme de l'innovation, un élément crucial du point de vue du business !
--
[1] Source
[2] Source