Êtes-vous taxés par vos outils ? La résilience numérique avec une stratégie de plateforme DevSecOps

Comment intégrer les services IT dans les finances Européennes alors qu'ils sont encore en développement?

Le secteur financier européen se tourne de plus en plus vers les services numériques, mais le DevSecOps n’a pas encore atteint son plein potentiel. Cela pourrait poser problème à l’avenir, car les autorités réglementaires sont de plus en plus proactives face aux pannes de services de cloud.

La Commission européenne a réagi en plaçant la barre plus haut en matière de résilience numérique. Les entreprises doivent désormais assurer la continuité des opérations numériques en cas de coupure ou d’attaque et tester régulièrement les systèmes pour identifier les vulnérabilités et prouver la résilience. Les infrastructures informatiques qui sous-tendent les activités numériques sont donc sur la sellette, et avec elles, le DevSecOps.

La résilience repose sur une culture et des pratiques solides

Le DevSecOps va de pair avec la transformation numérique : il s’agit d’une philosophie de livraison rapide et efficace de logiciels qui unit développeurs et services d’exploitation, de sécurité et l’entreprise. Mais les choses ne sont pas si simples.

Plus de la moitié des personnes travaillant dans les services IT considèrent que le déploiement du DevSecOps dans leur entreprise est sous-performant. Cela a son importance car une infrastructure résiliente repose sur une culture DevSecOps solide et des pratiques saines. 

Une étude récente de GitLab révèle une pratique ayant un impact négatif sur le développement de logiciels : la prolifération des chaînes de compilation. Deux tiers des personnes interrogées dans le cadre du rapport Security Without Sacrifices (Sécurité sans sacrifices) de GitLab déclarent vouloir consolider leurs chaînes de compilation ; 28 % des personnes interrogées sur la sécurité indiquent que le temps passé à maintenir les chaînes de compilation rend difficile le contrôle de la conformité, et 26 % des répondants déclarent qu’il est difficile de tirer profit de l’ensemble des outils.

Cette tendance est problématique car elle crée des dysfonctionnements au sein des équipes : la communication est compromise et les contrôles de sécurité et de réglementation ne peuvent être assurés sur l’ensemble du cycle de vie du logiciel. 

C’est ce que l’on appelle la “toolchain tax”, la taxe sur la chaîne de compilation. La solution la plus courante consiste à consolider les outils, mais, à elle seule, elle ne fait que provoquer des variations de la taxe. Voilà pourquoi il est important pour les entreprises de simplifier leur stratégie DevSecOps.

Simplifier la stratégie DevSecOps

Dans une stratégie de plateforme DevSecOps, quatre éléments sont à prendre en compte.

Le premier est une culture logicielle homogène fondée sur un modèle de développement collaboratif qui valorise les compétences de chacun. La première étape pour y parvenir est la consolidation de la chaîne de compilation. L’utilisation d’un outil unique pour les fonctions partagées permet d’éviter les changements de contexte et offre une vision unique de l’état d’avancement d’un projet. En partageant les mêmes outils, chacun peut vérifier, commenter et faire des suggestions au fur et à mesure de l’avancement du projet. Cette vision unifiée et collaborative place la sécurité et la surveillance au cœur du développement et garantit leur prise en compte tout au long du cycle de vie du logiciel. La consolidation suscite un intérêt certain : 69 % des utilisateurs déclarent à GitLab qu’ils aimeraient avoir moins d’outils.

Le second point à souligner est l’intégration efficace entre les outils et les systèmes de conformité. L’intégration est soutenue par des process unifiés et des workflows indépendants des outils, de sorte qu’ils peuvent circuler entre les phases DevSecOps et les étapes en aval du cycle de vie du logiciel. 

Troisième point : des ensembles de process standardisés rassemblent les meilleures pratiques en matière de construction, de déploiement et de surveillance, centrées sur les résultats de l’entreprise. Leur mise en œuvre sous forme de workflows permet d’appliquer les process de manière cohérente sur l’ensemble de la chaîne de compilation DevSecOps. En matière de sécurité, par exemple, les contrôles de conformité peuvent être intégrés à chaque étape du cycle de développement et de vie du logiciel plutôt que d’y être greffés par la suite. La conformité devient ainsi un élément propre à tout développement logiciel.

Enfin, vient l’automatisation. Un moteur d’IA exécute les workflows automatiquement. L’automatisation permet de limiter les tâches manuelles répétitives, du développement au déploiement, et facilite les relations au sein de l’équipe en prenant en charge le transfert des tâches et des projets. L’automatisation est notamment idéale pour les tests car elle permet de surmonter les problèmes historiques du « trop, trop tard » en déclenchant des tests selon les process et politiques en place.

Le DevSecOps doit améliorer sa résilience face à la pression croissante de la numérisation. Le moment est venu d’apprivoiser la chaîne de compilation grâce à une stratégie axée sur les plateformes, dans l’intérêt de l’entreprise, des clients et des régulateurs.

La standardisation des outils au sein des segments, comme la gestion du code source, risque de créer des silos. Vient ensuite la tentative d’intégration des silos, mais cela peut aboutir à des chaînes de compilation développées en interne, nécessitant une maintenance importante, ce qui est coûteux et risqué en matière de sécurité.

La consolidation est la solution, mais elle nécessite une approche plus stratégique : il faut imaginer une plateforme DevSecOps avec des fonctionnalités intégrées comme la planification, le développement, les tests et la surveillance via une gamme d’outils simplifiée et rationalisée. Cela peut se faire en recourant à un ensemble de capacités pré-intégrées pour la productivité, la collaboration et la communication entre équipes.