Le DevOps est désormais adopté par la plupart des entreprises. Mais y intégrer la sécurité ne va pas de soi.
Nous avons récemment mené une étude auprès de 100 décideurs IT en leur posant une série de questions sur le DevOps . Une majorité écrasante (88 %) a déclaré avoir adopté cette approche ou prévoir de le faire dans les deux prochaines années.
En lisant Why We Need DevOps Now sur le blog de Gene Kim, plusieurs arguments plaident en faveur du DevOps. Selon le co-auteur du Phoenix Project :
« En mettant en pratique les modèles DevOps, des organisations comme Etsy, Netflix, Facebook, Amazon, Twitter et Google atteignent des niveaux de performance impensables il y a encore cinq ans : des dizaines, voire des centaines de déploiements de code par jour, tout en offrant une stabilité, une fiabilité et une sécurité de classe mondiale. »
A priori tout va bien, mais affirmer que le DevOps conduit inévitablement à plus de sécurité nous a fait réfléchir à deux fois. En fait, lorsque nous avons interrogé notre auditoire à ce sujet, moins d'un répondant sur cinq (19 %) s'est dit pleinement confiant dans sa capacité à intégrer la sécurité (communément appelée DevSecOps) dans le processus.
Le DevOps peut être un véritable coup de pouce à l'agilité de l'entreprise, mais l'introduction de risques potentiels de sécurité des données dans le processus ne peut être ignorée.
Le malentendu de départ
Traditionnellement, de nombreuses entreprises considèrent que la sécurité est administrée séparément dans le cycle de vie du développement, plutôt que de l’intégrer dès la conception du projet.
Les DevOps partent du principe que la mise en place de contrôle de sécurité va les ralentir dans leurs projets. Ils imaginent devoir investir des moyens conséquents sur des fonctionnalités de sécurité qui retarderaient leurs livraisons, alors que les marchés leur réclament toujours plus d’agilité et de rapidité.
Une entité distincte
Étant donné les cycles de développement fréquents qui sont une caractéristique inhérente aux DevOps, considérer la sécurité comme une entité distincte peut en réalité ralentir les processus et réduire l'efficacité. Cela conduit soit à un compromis sur l'agilité - qui est au cœur de toute philosophie DevOps - soit à des cas où les failles ne seront pas repérées avant le prochain cycle de tests de sécurité.
Pour remédier à cet inconvénient et aider le département IT à passer efficacement à une approche DevSecOps, la formation des collaborateurs de l'ensemble du département est essentielle. Il en va de même pour l'adoption de nouvelles approches en matière de tests de sécurité, qui permettent une surveillance et une analyse en continu tout au long du cycle de vie de DevOps, qu'il s'agisse de planification, de code, de pré-production ou même de décommisionnement.
La sécurité intégrée dès la conception du projet
Bien que les avantages de DevSecOps soient clairs, sa réalisation est en réalité complexe et ne peut être achevée du jour au lendemain. Il faut du temps et des efforts pour déterminer comment mettre en œuvre et automatiser la sécurité des applications - comme la surveillance continue et l'analyse statique - dans les pipelines CI/CD existants. De plus, les dernières approches en matière de tests de sécurité, comme les tests de sécurité en continu, doivent être comprises pour s'assurer que toute approche de test suit le rythme du changement que permettent les approches DevOps.
Ces conseils devraient être appliqués par toutes les personnes impliquées dans le processus DevSecOps. Les équipes de développement doivent être formées afin d’être sensibilisées à la sécurité et de déterminer comment elles peuvent travailler avec leurs collègues en charge de la sécurité.
Inversement, les équipes Sécurité s’intègreront dans l'écosystème plus large de DevOps et elles auront une meilleure appréciation des responsabilités de leurs collègues. Si ces composants autrefois disparates peuvent être réunis, une philosophie DevSecOps efficace suivra naturellement.
Rétablir l'équilibre
Comme nous l'avons vu, le fait qu'un cinquième des organisations doute de leur capacité à intégrer une approche DevSecOps montre clairement qu'il existe un décalage important entre les capacités DevOps et l'état de préparation au DevSecOps.
Il est vrai que l'agilité est au cœur de toute organisation qui veut rester compétitive sur la scène mondiale. Les équipes de DevOps ne veulent pas renoncer à cette agilité durement disputée. Cependant, avec les menaces et les réglementations de plus en plus nombreuses en matière de cybersécurité, les organisations doivent trouver le juste équilibre entre agilité et sécurité.
Principaux points :
- DevOps est rapidement devenu de fait la référence de la grande majorité des services IT.
- Mais moins d'une personne sur cinq a pleinement confiance en sa capacité d'intégrer la sécurité dans le processus.
- Pour s'assurer qu'elles ne s’exposent pas aux attaques, les entreprises doivent intégrer les meilleures pratiques de sécurité dans l'ensemble du cycle de vie de DevOps.
- De nouvelles approches, telles que les tests de sécurité en continu, permettent aux cycles de développement d'évoluer rapidement et de rester sécurisés.