Les pratiques de DevOps se développent rapidement. Mais les mesures de sécurité des applications des entreprises ne progressent que modestement. C’est ce qui ressort d’une enquête « DevSecOps Community Survey 2019 » publiée par Sonatype, un éditeur du gestionnaire de composants logiciels Nexus.
Un DevOps sécurisé est très important pour les organisations. C’est la raison pour laquelle, elles mettent en place du DevSecOps dont l’objectif prioritaire est d’intégrer de la sécurité tout au long du cycle de vie des applications ou de l’infrastructure.
Cette pratique se développe, mais assez vite comme le montre cette 6e enquête s’appuie sur les réponses de 5 558 développeurs et professionnels de l’IT. Réalisée pour le compte de CloudBees, elle confirme qu’une très forte majorité (75 % des répondants) a atteint un niveau de « maturité » des pratiques DevOps de leur organisation.
Failles open source
Presque la moitié (47 %) des développeurs déclarent déployer des modifications en production plusieurs fois par semaine. Mais accélérer la fréquence de livraison n’est pas sans risque.
Près d’un quart des organisations ont été confrontées à une violation d’un composant open source au cours des douze derniers mois. Soit une augmentation de 71 % depuis que Heartbleed a fait la une des médias il y a 5 ans.
Mais l’augmentation des failles dans des logiciels open source doit inciter les DevOps à être encore plus vigilants. D’où la mise en place – par 62 % des organisations les plus avancées en matière de DevOps - d’une politique de gouvernance open source.
Et, une sur deux s’appuie sur l’automatisation de la sécurité pour identifier les vulnérabilités dans les conteneurs. La majorité (82 %) des pro-DevOps (59 % des retardataires) optent pour des solutions d’audit et de suivi des changements effectués sur l’ensemble du cycle de développement logiciel.
Autre constat, qui montre la différence de « maturité » et de sensibilisation entre les entreprises ayant une pratique DevSecOps et les autres : le déploiement du chiffrement.
La majorité (75 %) des pro-DevOps (contre 46 %) utilisent le chiffrement pour l’ensemble de leurs informations d’identification. Pire, plus d’un quart n’ont aucune protection pour les informations confidentielles comme les mots de passe et les clés API.
Autre différence symptomatique : plus de huit organisations pro-DevOps sur dix (contre 63 %) ont un plan de réponse aux incidents de cybersécurité.
La nécessité de déployer des processus de sécurité tout au long du cycle n’est pas encore généralisée. Peut-être parce qu’un développeur sur deux estime ne pas avoir assez de temps à consacrer aux enjeux de sécurité… Résultat, la moitié délègue cette problématique aux fournisseurs d’infrastructure dans le cloud !
Un environnement DevOps sécurisé doit être une priorité. Mais ce n’est pas l’objectif final. Il est important d’intégrer la sécurité dès le départ (notamment à cause du principe du Privacy by design du RGPD), de sécuriser toute l’architecture et d’automatiser la sécurité.
La globalité (en priorisant les données) doit rester la « top priorité ».