DevSecOps, la sécurité Dans le DevOps

Le DevOps vise à rapprocher les équipes de développement et d’exploitation afin de répondre aux besoins des clients de manière plus agile. Pour renforcer la confiance des utilisateurs finaux et raccourcir les cycles de développement, les équipes en charge de la sécurité peuvent également être associées aux projets. C’est l’approche DevSecOps.

Le trio DevSecOps, une démarche en plein boom

L’approche DevSecOps vise à rapprocher les spécialistes de la sécurité informatique (Sec) des équipes chargées du développement des applications (Dev) et de l'exploitation des systèmes (Ops). Ce rapprochement renforce la sécurité des applications ou des logiciels d’une part et protège davantage l'infrastructure de développement d’autre part. Pour quels usages ? Les experts sécurité pourront par exemple rechercher des vulnérabilités dans le code source d’une application ou des failles dans une API grâce à des moyens de tests de pénétration. Ce travail en amont servira ensuite aux développeurs pour apporter des correctifs.

Pourquoi cette intégration de la sécurité lors du développement et non plus après, devient-elle essentielle aux projets DevOps ? Tout d’abord parce que les cybermenaces sont en augmentation constante. Selon un rapport de Tanium, 93 % des organisations françaises ont enregistré une hausse des attaques depuis le début de la pandémie de Covid-19. Dans le même temps, la fréquence de mise à jour des composants d’application s’accélère chez les fournisseurs. Une entreprise qui n’effectue pas ces mises à jour de manière continue devient vulnérable.

Le principe d’itération propre à l’approche DevOps raccourcit aussi les délais entre les différentes versions des applications livrées au client. Il faut donc à chaque fois s’assurer qu’elles offrent les garanties de sécurité suffisantes à l’utilisateur final. Face à ce travail de sécurisation qui a tendance à allonger les cycles de développement, le DevSecOps encourage l’automatisation des portes de sécurité (par exemple les clés et les certificats de chiffrement) et évite ainsi un trop fort ralentissement du flux de travail.

Cette démarche séduit de plus en plus les experts de l’IT : 50 % des 2 000 professionnels interrogés par Micro Focus prévoient d’investir dans le DevsSecOps à court ou moyen terme.

Renforcer l’approche DevOps en brisant les silos

En faisant le lien entre les équipes d’exploitation, de développement et de sécurité, la DSI a un rôle clé dans le développement des pratiques DevSecOps. Elle va notamment encourager le rapprochement de métiers souvent silotés. Un défi autant humain que technologique, qui se fait par étapes ! Cela peut passer par des processus communs et un rôle actif de chacune des équipes sur l’ensemble du cycle de vie de l’application. En effet, même au stade préliminaire de son développement pas l’équipe Ops, l’équipe Dev peut déjà anticiper les versions correctives. Pour créer cet environnement intégré, la DSI peut par exemple établir un rapport d’avancement commun aux 3 équipes ou encore faire participer un développeur aux réunions quotidiennes de l’équipe sécurité.

Autre option, mettre l'accent sur le risque lié au développement d’application et non plus sur la seule sécurité, qui focaliserait uniquement l’attention sur les outils de protection. L’angle « risque » favorise une prise de conscience face aux menaces et la définition de bonnes pratiques communes à toutes les équipes. Enfin, une approche « security by design » réunira les représentants Dev, Sec et Ops pour intégrer la sécurité dès les phases de conception de l’application.

Des bénéfices très concrets

Quels bénéfices offre le DevSecOps ? Commençons par le budget : plus une faille de sécurité est détectée tôt dans le cycle de vie d’une application, moins le coût de sa résolution sera élevé. De plus, l'équipe DevSecOps dispose d’une parfaite connaissance des composants de son application/logiciel, mais aussi des fournisseurs et de la fréquence de publication des mises à jour. Viennent ensuite les délais : si les processus de sécurité sont intégrés au fil du développement, la durée d’intégration des mesures de protection est réduite. L’entreprise peut donc produire des versions d’application plus stables et sécurisées dans des délais raccourcis.

Le rapport « 2019 State of DevOps » de Puppet, CircleCI et Splunk révèle ainsi que 22 % des entreprises ayant atteint un haut niveau d’intégration de la sécurité sont à un stade avancé d’évolution DevOps. 61 % d’entre elles sont capables d’effectuer des déploiements en production à la demande, un chiffre bien supérieur aux sociétés n’ayant pas intégré la sécurité à leurs projets DevOps. Rien de surprenant : les principes de la culture DevOps – collaboration, partage des outils, automatisation, visibilité et mesure de la performance, amélioration continue – sont semblables à ceux de la cybersécurité. Ils permettent des développements mieux contrôlés mais aussi une capacité accrue à répondre aux événements inattendus.