Ce terme renvoie à l’approche DevOps qui rassemble les développeurs et l’équipe IT dans une démarche d’amélioration des délais et de qualité. Il ajoute la couche indispensable de sécurité. La réussite d’un projet DevSecOps dépend de l’étroite collaboration entre toutes les parties concernées.
Que signifie DevSecOps ?
Ce triple acronyme veut dire Development, Security, and Operations, rappelant ainsi les métiers qui il s’adresse. L’aspect sécurité doit être présent dès le début du projet. Il ne s’agit pas exclusivement d’un projet technologique mais d’une méthode qui fait appel aux méthodes agiles et nécessite un réel échange entre les experts de la sécurité, les développeurs et les responsables de la production. L’objectif est se focaliser sur l’amélioration continue de la qualité en intégrant la sécurité.
A quoi sert DevSecOps ?
Un processus de création de logiciels DevOps comprend l’intégration et le déploiement en continu. Le « time to market », à savoir la mise en production rapide d’applications pour répondre aux besoins de clients, peut parfois négliger les contraintes de sécurité et créer des vulnérabilités avec les conséquences que l’on devine en termes de coûts et de confiance. Le DevSecOps ne se contente pas de réaliser un audit de sécurité final, il comprend des contrôles dans toutes les phases importants du projet évitant ainsi les pertes de temps en cas d’erreurs.
Comment DevSecOps est-il mis en place ?
Cette méthode de développement mise sur le décloisonnement des équipes et recommande la création de flux de travail automatisés et sécurisés. Ce type de projet fait appel aux flux de travail automatisés CI/CD (Continuous Integration and Continuous Deployment) pour réaliser des mises à jour plus fréquentes et plus fiables. La recherche des failles est également automatisée. Mieux vaut les détecter durant le développement qu’à la fin du cycle.
Le but de DevSecOps est d'appliquer les politiques de sécurité tout en communiquant aux utilisateurs des informations précises sur la manière de faire avancer leur projet.
Il ne s‘agit pas d’une baguette magique, sans adhésion ni collaboration effective entre les équipes, ce type de méthode de développement peut aboutir à des échecs pénalisants.
Les 4 meilleurs articles sur le DevSecOps
En s’appuyant sur les principes du DevSecOps, les entreprises limitent les risques
Le cloud est partout. Mais une majorité d'organisations signalent une posture de sécurité faible et une visibilité inadaptée. Selon un rapport de Palo Alto Networks l’intégration des principes du DevSecOps représente un maillon essentiel pour limiter les risques… (suite)
DevSecOps et observabilité full-stack : combinaison gagnante pour les entreprises ?
En réponse à la pandémie, les entreprises n’ont eu d’autre choix que d’accélérer les initiatives de transformation numérique à un rythme inédit. La course à l’innovation est un défi permanent pour les équipes informatiques qui subissent une pression constante pour assurer une expérience utilisateur optimale en toute circonstance et soutenir la croissance de leur entreprise… (suite)
Comment développer et garantir une culture DevSecOps efficace ?
L’approche DevOps est née pour casser les silos entre les équipes de développement et des opérations, qui créent jusque-là des divisions et des points de friction. Son objectif premier était d'unir les différentes visions des équipes afin d'améliorer la vitesse et la qualité de livraison des projets… (suite)
De l’idéation au déploiement ou comment passer de DevOps à DevSecOps en 6 étapes
En intégrant les équipes et les outils de sécurité directement dans le cycle de développement logiciel, DevSecOps permet d’assurer que les tests de sécurité ont lieu à chaque cycle de développement… (suite)