Selon la majorité des responsables informatiques interrogés récemment par Trend Micro, la communication entre l’équipe chargée de la sécurité informatique et celle du DevOps doit s'améliorer.

Alors que l’on ne cesse de parler de transformation numérique et d’agilité, les entreprises semblent avoir oublié l’essentiel : la communication interne ! C’est le cas avec le DevOps et la cybersécurité.

Selon l'enquête de Trend Micro (reposant sur les réponses de 1 310 décideurs informatiques), le DevOps est une réalité. ? Près des trois quarts (74 %) ont indiqué que les initiatives de DevOps avaient pris de l'importance au cours de la dernière année.

L'objectif fondamental du DevOps étant d'accroître la valeur de l'entreprise, cela doit se refléter dans les KPI. Ils doivent par conséquent permettre de :

  • Mieux comprendre quelles initiatives ont un impact et pour quelle(s) raison(s) ;
  • Savoir où concentrer les ressources pour augmenter leur valeur ;
  • D’améliorer la livraison des logiciels à travers l'organisation.

Mais les résultats ne seraient-ils pas meilleurs si des échanges se faisaient régulièrement entre les équipes ? Or, une forte majorité (89 %) reconnait un manque de communication entre les équipes DevOps et cybersécurité. Un constat qui vaut aussi pour les échanges entre les développeurs, la sécurité et les opérations.

Une responsabilité partagée

Le tiers des répondants (34 %) ont déclaré que les cloisonnements entre ces groupes rendent plus difficile la création d'une culture de DevOps dans leur organisation.

"L'histoire du développement de logiciels montre que les améliorations de processus les plus importantes et les meilleures ne se produisent jamais rapidement en raison de la variable la plus précieuse, les personnes ", précise Steve Quane, vice-président exécutif de la défense réseau et de la sécurité du cloud hybride chez Trend Micro. Et d’ajouter : "les organisations qui mettent en place une structure DevOps vont dans une direction forte, mais la sécurité ne peut être oubliée pendant cette transition."

Cet échec de la communication est également illustré par le fait que seulement un tiers des répondants estiment que DevOps est une responsabilité partagée entre le développement logiciel et les opérations informatiques.

Les trois meilleurs moyens favorisant un changement culturel lors de la mise en œuvre de DevOps sont les suivants, selon les responsables informatiques interrogés :

  • Favoriser une meilleure intégration entre les équipes (61 %) ;
  • Établir des objectifs communs (58 %) ;
  • Partager les expériences d'apprentissage entre les équipes (50 %).

Dans la réalité, de nombreuses initiatives de DevOps ont réduit le temps de cycle de livraison. Mais les pratiques et les politiques de sécurité sont considérées comme un goulot d'étranglement.

La collaboration est un élément clé de la culture de DevOps. Les développeurs et les opérations sont étroitement liés, mais il y a aussi de la place pour la cybersécurité. Les professionnels de la sécurité devraient envisager de fournir des listes de contrôle aux développeurs et rappeler les meilleures pratiques permettant de prévenir les attaques typiques (injection SQL, débordements de tampon…).

En retour, l’équipe chargée de la sécurité doit également englober la culture DevOps pour gagner en agilité.

Source : trendmicro.com