Au fur et à mesure que DevOps d’impose, une question se pose : comment intégrer la sécurité dans la chaine des process et des outils DevOps ?
Il y a deux fossés dans le développement d’application : le premier sépare les développeurs de la production (DevOps), le second sépare développeurs et production de la sécurité (DevSecOps).
Voici 3 manières de renforcer la sécurité et pour dissuader les menaces en réalisant un schéma DevSecOps qui intègre les parties prenantes et implique la sécurité dans la création quotidienne, en exprimant plus facilement les préoccupations de sécurité rendues plus crédibles, et en renforçant la positivité et la bonne volonté des équipes :
1Développer la confiance
L’incompréhension demeure entre DevOps et sécurité. Sont en cause des priorités et une culture différentes. Pour réunir les deux groupes, la confiance s’impose. Et pour cela de découvrir ce qui motive les uns et les autres. En particulier, la perception de la sécurité, qui n’a rien de ‘cool’ pour les développeurs pour qui elle représente une charge supplémentaire, et serait même considérée comme intrusive.
- Recherchez la motivation ; identifiez les ‘champions de la sécurité’ ; identifiez, collectez et assurez systématiquement la promotion des meilleurs pratiques en matière de sécurité. Et passez de la ‘surveillance’, toujours mal perçue, à l’engagement de la chaine de développement, afin de créer une culture qui respecte l’équipe de développement et contribue à la confiance.
2Créer une responsabilité
Les développeurs se sentent rarement ‘responsables’ de la sécurité de leur travail. Tout au plus avec DevOps se sentent-ils responsables de la qualité des logiciels qu’ils créent...
- Renforcez la responsabilité en sensibilisant les équipes aux failles et aux menaces qui pourraient potentiellement nuire aux applications et à leur exécution, et en créant un dialogue entre les deux équipes au travers de sessions et de démonstrations, afin que la sécurité devienne une priorité.
3Promouvoir la coopération
Le voyage vers l’application dois s’effectuer ensemble, et non séparément. Trop souvent, les équipes de la sécurité sont trop réduites et disposent de trop peu de moyens. Leur intérêt pour certaines normes est généralement considérée comme une contrainte, malgré les bonnes intentions ! De plus, l’affectation d’une part du budget développement à la sécurité est souvent mal perçue… Cette situation ne génère que des malentendus et du ressentiment.
- Pour créer une équipe unifiée axée sur DevSecOps, intégrez les ressources de sécurité disponibles aux projets les plus critiques, afin de créer un processus DevSecOps applicable aux autres projets. Les professionnels de la sécurité pourront ainsi faire partie du processus de développement quotidien, avoir une voix à la table à chaque étape du processus de développement, développer une compréhension des contraintes (temps et technologie) au sein de la chaîne de développement, et s’impliquer à chaque étape.
Source : Tibco
Image d’entête 869281652 @ iStock ikryannikovgmailcom
