Il ne peut y avoir de compromis sur la sécurité, elle doit rejoindre les processus du monde agile en intégrant le pipeline DevOps. Pour réduire la surface des applications exposée aux cyberattaques, et augmenter le cadre conventionnel des DevOps, la mise en oeuvre des DevSecOps s’impose.
Au moment où les entreprises adoptent massivement l’approche DevOps pour le développement de leurs applications et services, la sécurité demeure le parent pauvre de ces projets.
DevSecOps va consister à standardiser le flux de travail, la documentation et l’exécution afin de s’assurer de l’intégration et de la transparence des différentes facettes de cette pratique – comme la gestion automatisée des vulnérabilité ou l’automatisation de l’analyse de conformité – qui sont directement impliquées dans l’implémentation.
Les 3 piliers du DevSecOps
- L’automatisation est cruciale dans le démarche. Tout comme DevOps tourne autour de l’automatisation des sections de construction, le concept DevSecOps se concentre sur l’automatisation de la sécurité. Il s’agit d’automatiser les contrôles de sécurité en éliminant le besoin d’interférer manuellement. Ainsi que de rattraper l’accélération des cycles de versions plus rapides pilotés par DevOps.
- Les spécialistes de la sécurité devront également s’intégrer à l’équipe de développement pour former une équipe de ‘champions de la sécurité’ interfonctionnelle.
- Enfin, l'outillage, divers aspects de l’approche DevSecOps peuvent être outillés, dont les tests, la gestion de la confidentialité, la modélisation des attaques, ou encore l’équipe d’intervention. Certains de ces outils sont encore émergents, le choix en sera pas forcément facile…
Les bénéfices de DevSecOps
Trop souvent considérée comme un passif plutôt qu’un atout, la sécurité apporte son lot de satisfactions qui doivent faire pencher la balance au profit de DevSecOps :
- En identifiant et en réduisant les vulnérabilités au fur et à mesure qu'elles surviennent, la sécurité globale de l'infrastructure est renforcée.
- Contrairement à l'approche conventionnelle, dans DevSecOps les problèmes de sécurité sont identifiés et traités dans la phase de développement elle-même, ce qui entraîne une réduction des coûts globaux encourus dans le développement et la sécurité des applications.
- La mise en œuvre de DevSecOps s'efforce constamment de détecter et d'éliminer les goulots d'étranglement de sécurité à différents stades de développement, ce qui à son tour augmente la vitesse à laquelle le produit est livré.
- DevSecOps nourrit également un environnement de transparence et contribue à augmenter la valeur client.
Les défis
Tout cela peut paraître simple et logique, cependant de nombreux défis attendent la mise en oeuvre de DevSecOps. A commencer par la sous-estimation des compétences en matière de cybersécurité. De plus, les différentes équipes doivent travailler à l’unisson, ce qui n’est pas dans la culture de beaucoup d’entreprises. De même que les équipes de développement peuvent éprouver de la frustration face au temps que prend la construction d’un code sécurisé, ce qui entrave la rapidité de la livraison.
Image d’entête 498341490 @ iStock TeamOktopus