DevSecOps : la sécurité au coeur de l’approche DevOps

Intégrer la sécurité informatique au cycle de vie complet des applications : c’est le but poursuivi par l’approche DevSecOps pour tirer pleinement profit de l’agilité et de la réactivité d’une approche DevOps. Définition, bonnes pratiques et tendances en la matière.

Du DevOps au DevSecOps : la nécessaire intégration de la sécurité

Le terme “DevOps” désigne généralement une approche visant à favoriser la communication entre les équipes quand de plus en plus d’éléments de leur fonctionnement peuvent être programmés. L’idée : réunir développement et exploitation et les faire fusionner dans une approche plus rationalisée.

Dans ce modèle, il est donc question d’abolir l’isolement entre les équipes de développement et d’opérations, pour permettre à chacun des ingénieurs de travailler sur l’ensemble du cycle de vie d’une application : création, tests, déploiement, exploitation, ou encore développement de gammes de compétences liées à différentes fonctions. Ils peuvent ainsi recourir à un panel de pratiques et de techniques pour automatiser les processus manuels lents et fastidieux, et assurer le fonctionnement et l’évolution des applications rapidement et avec efficacité.

Que représente, dans ce contexte, le passage à la notion de DevSecOps ? Pourquoi intégrer désormais la sécurité informatique au cycle de vie complet des applications ?

Avec l’efficacité de l’approche DevOps, les cycles de développements sont désormais beaucoup plus courts et plus fréquents. Il est donc nécessaire d’aligner les pratiques de sécurité sur ces nouvelles durées, et de les intégrer du début à la fin du cycle de vie de l'application, pour se prémunir contre le risque d’anéantir les bénéfices des projets DevOps les plus efficaces.

Retrouvez toutes les missions orientées "Devops" ici

Les bonnes pratiques de l’approche DevSecOps

Dans ce contexte, l’approche DevSecOps implique quelques bonnes pratiques.

Réflexion dès le début du projet en matière de sécurité de l’application et de l’infrastructure (“shift left”).
Analyse de l’impact sur le business (“Business Impact Analysis”) et de l’alignement des équipes de sécurité, de développement et de business sur les menaces et leurs conséquences.
Définition de scénarios d’abus (“Abuse Cases”) qui vont au-delà des Use Cases traditionnels pour se focaliser sur les scénarios de malversation des fonctionnalités et leurs éventuelles conséquences.
Définition des exigences de sécurité pour l’application cible au sens large, puis au niveau de ses différentes fonctions.
Automatisation des tests de sécurité et des revues de code.
Automatisation des passerelles de sécurité pour éviter le ralentissement des processus et workflows DevOps.
Sélection d’outils aptes à assurer l’intégration continue de la sécurité.
Mise en oeuvre immédiate et conduite permanente de changements culturels profonds au sein des équipes en charge de la sécurité, par la sensibilisation, l’éducation et la formation.

Quelles tendances pour l’approche DevSecOps ?

Dans l’édition 2020 de son rapport “DevSecOps”, GitLab s’est intéressé aux tendances de cette approche. Pour livrer ses résultats, le gestionnaire de dépôt de code source a interrogé 3650 développeurs à l’échelle de 21 pays.

Cinq tendances principales émergent de l’étude.

L’expérience des répondants en matière de DevSecOps est très récente : un à trois ans pour 37 % des répondants, et trois à cinq ans de pratique pour plus de 25 %.
L’intégration et le déploiement continus (CI/CD) montent en puissance : le déploiement de code est quotidien pour plus de 60 % des développeurs.
Les trois quarts des répondants indiquent gérer partiellement ou totalement des microservices, avec 38 % d’utilisateurs de la technologie d’orchestration de conteneurs Kubernetes.
Dans les processus de développement, les équipes disant enregistrer le plus de retard dans les tests. Pour sécuriser les développements, il est donc nécessaire de les automatiser davantage.
Enfin, chaque équipe étendue semble se sentir responsable de la sécurité des développements. Mais la défiance entre développeurs et équipes de sécurité persiste. Pour sécuriser le code, plus de six développeurs sur dix pensent cela dit disposer de processus et d’outils permettant à leur organisation d’innover.

Sur le sujet, consultez également notre article, “DevOps : mêler le développement et l'intégration système”

Rendez-vous sur notre blog pour suivre l’actualité du secteur informatique, et sur free-work pour trouver votre prochaine mission IT !