L’étude de HPE examine de près les défis auxquels de nombreuses organisations doivent faire face en intégrant des mesures de sécurité tout au long de leurs processus DevOps, et fournit des recommandations pour renforcer ces politiques de sécurité. Selon le rapport, qui comprend à la fois des réponses quantitatives et qualitatives de professionnels de l’exploitation IT, de responsables sécurité et de développeurs, 99% des répondants conviennent que l’adoption d’une culture DevOps peut améliorer la sécurité des applications 1. Cependant, seulement 20% d’entre eux reconnaissent effectuer des tests de sécurité des applications durant les phases de développement, et 17% n’utilisent aucune technologie particulière pour sécuriser leurs applications, ce qui prouve l’écart important existant entre la perception et la réalité des démarches DevOps sécurisées 1.

« Notre étude montre qu’à la fois les responsables sécurité et les développeurs pensent que le mouvement DevOps a le potentiel d’améliorer considérablement la sécurité des applications, mais que les organisations ont du mal à tirer parti de ce potentiel jusqu’à présent », a déclaré Jason Schmitt (@raidschmitt), Vice-Président et Directeur Général de l’entité HPE Security Fortify chez Hewlett Packard Enterprise. « En analysant l’état d’avancement actuel de DevOps et les meilleures pratiques pour l’intégration de la sécurité dans la culture des équipes de développement, les organisations peuvent sécuriser leurs logiciels dans ce nouveau monde DevOps, sans réduire la vitesse ni l’agilité que DevOps peut apporter ».

Observations principales

DevOps offre des promesses très séduisantes pour sécuriser le développement des logiciels, grâce à la possibilité qu’ont les organisations d’identifier et de corriger les vulnérabilités plus fréquemment et plus tôt dans le cycle de vie de l’application, et de réduire ainsi les coûts et les temps de développement. Cependant, l’étude Application Security and DevOps Report 2016 prouve l’existence d’obstacles et de lacunes qui empêchent principalement les organisations d’intégrer avec succès la sécurité avec DevOps, comme par exemple :

• Des barrières organisationnelles entre les professionnels de la sécurité et les développeurs sécurité. Le rapport montre un manque de coordination entre les développeurs et les équipes de sécurité. Dans certains cas, les répondants ont même admis ne pas connaître leurs correspondants sécurité. Cela a conduit 90% des professionnels de la sécurité à déclarer que l’intégration de la sécurité des applications est devenue plus difficile depuis que leurs organisations ont commencé à déployer DevOps. 1

• Un manque de sensibilisation sur l’importance de la sécurité et de formation à destination des développeurs. Sur plus de 100 offres d’emploi pour les développeurs de logiciels à des entreprises Fortune 1000, aucune n’exigeait de connaissance ou d’expérience particulière en matière de sécurité ou de codage sécurisé.1

• La pénurie de compétence en matière de sécurité des applications. Dans les entreprises ayant répondu, le ratio entre le nombre de professionnels de la sécurité des applications et le nombre de développeurs est de 1 pour 80.

« Adopter une démarche DevOps peut rendre les applications plus sûres, dans la mesure où le développement et l’environnement de production sont construits de la même manière, avec les mêmes standards de sécurité et de tests », a déclaré John Meakin, Group Information Security Officer chez Burberry (@Burberry). « Cependant, cela nécessite un engagement de toute l’organisation à mettre la sécurité en priorité, et d’intégrer davantage de solutions de tests automatisés qui permettent plus facilement de collecter des retours en temps réel et de corriger les vulnérabilités tout au long du processus de développement ».

Principaux conseils pour développer des applications de façon sécurisée
Pour accompagner l’adoption progressive d’une culture DevOps dans les organisations, l’étude propose des recommandations visant à faire tomber les barrières afin de pouvoir mieux sécuriser le développement des applications, et mieux intégrer la sécurité parmi les équipes Devops, parmi lesquelles :

• Faire de la sécurité une responsabilité partagée par toute l’organisation afin d’éliminer les obstacles. La sécurité doit être une réalité ancrée dans toutes les étapes du processus de développement, avec le soutien des équipes dirigeantes et la définition de moyens de mesure afin de responsabiliser les équipes en charge du développement sécurisé des applications. Ces mesures devraient se concentrer sur le temps moyen de réalisation des tests (Mean-time to triage, MTTT), le temps moyen de réparation (Mean-time-to-fix, MTTF), et la conformité règlementaire du programme.

• Améliorer la sensibilisation et la formation de façon à rendre le développement sécurisé plus transparent et plus intuitif. Les organisations devraient intégrer des outils de sécurité dans l’écosystème de développement, comme HPE Fortify Security Assistant, pour permettre aux développeurs de trouver et de corriger les vulnérabilités en temps réel pendant qu’ils écrivent le code. Cela rend le développement sécurisé plus facile et plus efficace, et forme le développeur sur les processus conduisant à un codage sécurisé.

• Tirer parti de l’automatisation et des traitements analytiques pour renforcer la sécurité des applications. Les organisations devraient profiter de l’automatisation de la sécurité des applications de classe entreprise avec des traitements analytiques intégrés, comme l’apprentissage machine que propose HPE Fortify Scan Analytics, afin d’automatiser les processus de vérification et d’audit des tests de sécurité des applications, et permettre ainsi à leurs professionnels de la sécurité des applications de se concentrer uniquement sur les risques les plus prioritaires. Cela réduit le nombre de problèmes de sécurité qui nécessitent un examen manuel, libère du temps et des ressources, tout en réduisant l’exposition globale aux risques.

L’annonce récente du HPE Fortify Ecosystem permet aux organisations d’intégrer pleinement la sécurité dans la chaîne DevOps outil en permettant aux développeurs de tester et de sécuriser de façon transparente et intuitive et des applications durant tout le cycle de vie du développement logiciel.

Méthodologie : L’étude Application Security and DevOps Report 2016 regroupe des données et des analyses effectuées par les équipes de HPE Security, des leaders du secteur, des entreprises et des développeurs afin de mettre en lumière les lacunes et les barrières existant entre la promesse et la réalité de démarches DevOps sécurisées.