Le DevSecOps est l’avenir du DevOps
On connaissait le DevOps, modèle plus que plébiscité par les DSI aujourd’hui, qui rend possible le mix des équipes chargées du développement des applications (Dev) et de l’exploitation des systèmes (Ops pour « opérations. En effet, le mouvement DevOps se caractérise par la promotion de l’automation et du monitoring de toutes les étapes de la création d’un logiciel, depuis le développement, l’intégration, les tests, la livraison jusqu’au déploiement, l’exploitation et la maintenance des infrastructures.
Ce nouveau modèle est très souvent employé conjointement avec les méthodes de développement Agiles et tire parti de l’évolutivité du Cloud computing. Il permet de soutenir des cycles de développement plus courts, d’accroître considérablement la fréquence des déploiements en rendant possible les livraisons continues ; le tout, bien sûr, dans le but de rendre les entreprises plus flexibles et compétitives en améliorant sensiblement le Time-to-Market.
Pourtant, de nombreux professionnels s’accordent désormais à dire que l’approche telle qu’elle est mise en œuvre aujourd’hui ne va pas assez loin. Dans un monde interconnecté, les failles de sécurité et les fuites de données sont légion. Les experts reconnaissent que ces fuites trouvent leur source bien souvent dans les équipes de développement et poussent les DSI à compléter l’approche DevOps en y incluant de la sécurité.
Le DevSecOps (Développement Sécurité Opérations) est né !
Et ses principes de base sont fondés sur l’idée que chaque acteur dans le cycle de développement d’un logiciel est également en charge de la sécurité. Il est clair qu’il ne suffit pas de protéger ses frontières, il faut intégrer la sécurité au cœur même d’un programme DevOps.
Les DSI et leurs équipes doivent réfléchir à la sécurité de façon plus fine et ce, non pas « a posteriori » dans un mode style boîte noire, mais dès le début du processus de conception des logiciels et durant tout le cycle de développement. L’enjeu est de taille car les applications et les problèmes de sécurité qu’elles rencontrent sont devenus extrêmement complexes.
La mise en place d’une démarche DevSecOps est un challenge important au sein d’une entreprise car elle introduit des changements aussi bien culturels qu’organisationnels. Les principes de responsabilité partagée et de droit à l’erreur sont notamment des aspects qui ne sont pas facilement acceptés par tous et qui nécessitent donc beaucoup d’énergie pour faire évoluer les mentalités.
Le jeu en vaut pourtant la chandelle car c’est en faisant comprendre aux équipes que la sécurité est l’affaire de tous et que c’est en anticipant les problèmes de vulnérabilité au plus tôt que l’on réduit le plus les coûts liés à la sécurité. En effet, on évite ainsi toute l’étape de correction postérieure qui est très couteuse. Cette anticipation est ce que l’on appelle le principe du « Shift Left » que l’on retrouve également dans la démarche DevTestOps qui permet de tester de façon plus fiable et plus rapide, en incluant les tests au plus tôt dans la chaîne de delivery.
Les DSI et leurs équipes doivent se convaincre que produire du code sécurisé à la source ne prend finalement pas beaucoup plus de temps et coûte beaucoup moins cher que lorsque la sécurité est introduite en fin de cycle.
