Un carburant essentiel de la transformation numérique

L’innovation est un enjeu vital pour notre économie et pour notre société. C’est la raison pour laquelle développer des logiciels qui les aident à croître et à prospérer est un besoin vital pour les entreprises. Dans cette perspective, au risque d’énoncer une évidence, la sécurité est aussi fondamentale qu’urgente. Ceci est encore plus vrai dans un contexte où la pandémie a accentué la digitalisation de notre économie. Ce n’est pas un hasard si les préoccupations des dirigeants d’entreprises en matière de sécurité sont plus fortes depuis quelques mois. Un récent rapport mondial de PwC confirme cette tendance : il révèle que les investissements des organisations dans le domaine de la cybersécurité sont en pleine croissance : 69 % des organisations prévoient une augmentation de leurs dépenses en 2022, contre 55 % l’année dernière[1].

Innover oui… mais en toute sécurité

Pour stimuler l’innovation, tout en veillant à la sécurité, les entreprises sont de plus en plus nombreuses à se tourner vers les logiciels libres. Pourtant, certaines idées préconçues laissent à penser que ceux-ci sont moins sûrs que les logiciels propriétaires, sous le prétexte qu’ils sont ouverts à tous ceux qui veulent les utiliser. Cette perception a été mise en évidence par une étude de Red Hat l’année dernière. Celle-ci a montré que le principal obstacle à l’adoption de l’open source par les entreprises est la conviction que cette approche engendre des problèmes de sécurité. En réalité, cette vision est totalement déconnectée de la réalité. En effet, des recherches récentes[2] ont révélé que le niveau de sécurité est plus avancé au sein des entreprises qui utilisent l’open source. Ceci s’explique par le fait que, lorsqu’il s’agit de développer et de maintenir un code sécurisé, la responsabilité collective de la communauté open source est bien plus efficace que l’approche propriétaire.

Une communauté qui apporte une véritable valeur ajoutée

Avec l’approche open source, le nombre de développeurs impliqués dans l’identification et la correction des problèmes de sécurité est exponentiel. En outre, étant désireux de faire connaître leurs contributions, ces derniers sont incités à identifier et à corriger les failles des logiciels sur lesquels ils ont travaillé, avant même la mise en ligne. L’adage selon lequel "des yeux nombreux engendrent des bugs superficiels" est donc tout à fait vrai. Afin de s’atteler à renforcer la sécurité de l’ensemble de leurs opérations et à mettre en place les bons processus de développement pour soutenir celles-ci, il est donc essentiel que les entreprises sachent quels types de logiciels leur organisation consomme. En effet, qu’elles en soient conscientes ou non, nombre d’entre elles utilisent des logiciels libres dans leur processus de développement.

Une approche progressive de l’intégration de la sécurité

L’open source offrant des avantages majeurs en matière de sécurité, les organisations sont fortement invitées à s’en inspirer. En adoptant une approche plus progressive de l’intégration de la sécurité, une caractéristique clé de la conception des logiciels libres, elles augmentent leur vitesse d’innovation et reprennent le contrôle de leur cybersécurité. Concrètement, le processus "DevSecOps" progressif et inclusif consiste à intégrer la sécurité à chaque étape du parcours DevOps, au lieu de tenter de la « verrouiller » à la fin du cycle de développement. Les entreprises sont ainsi en meilleure position pour protéger l’ensemble de leur organisation. Cerise sur le gâteau, elles voient même leur productivité et leur efficacité augmenter sensiblement. Des outils DevSecOps sophistiqués permettent par exemple aux entreprises d’analyser le code au moment où il est créé. Elles obtiennent ainsi des évaluations de sécurité précises et exploitables, au sein-même de l’environnement et du flux de travail des développeurs. Le code open source n’est pas le seul à faire l’objet d’un examen minutieux : le code interne de l’entreprise est également analysé.

Détecter et corriger les vulnérabilités à chaque étape

Dans un environnement open source, les problèmes de sécurité sont révélés dans les « pull requests », dans le cadre du processus d’examen du code. Cette approche permet d’identifier plus facilement les problèmes de sécurité hautement prioritaires et qui pourraient être exploités. Les développeurs peuvent ainsi visualiser leur exposition à travers leurs bases de code et se concentrer sur les vulnérabilités les plus préoccupantes. Cette approche est beaucoup plus efficace que le fait de simplement ajouter un processus de révision de la sécurité à la fin du cycle de développement, une pratique qui ralentit le développement et rend plus coûteuse la correction des vulnérabilités de sécurité. Au quotidien, pour identifier et prévenir facilement les variantes de nouveaux problèmes de sécurité, il est très simple de créer des requêtes personnalisées. Des moteurs d’analyse tiers peuvent également être intégrés par les développeurs pour afficher les résultats de tous les outils de sécurité. Cet affichage se fait dans une interface unique, les résultats étant eux aussi exportés via une API unique.

Une culture communautaire de l’excellence

Il est important de souligner qu’en adoptant pleinement l’open source, les développeurs ont accès à tout ce dont ils ont besoin, non seulement en termes d’outils de sécurité disponibles, mais aussi en termes d’environnement et de culture. En effet, le fait que les outils accroissent la productivité permet aux développeurs d’avoir suffisamment de temps pour la collaboration et le partage. Ils résolvent les problèmes qu’ils rencontrent en discutant avec d’autres développeurs qui partagent les mêmes convictions. C’est ainsi qu’au fur et à mesure des projets, ils apprennent, progressent et se perfectionnent. Ils s’épanouissent ainsi dans une culture communautaire riche en échanges. C’est l’open source qui apporte cet objectif partagé et donne accès à cette communauté.

L’open source doit être considéré comme un moyen d’aider les organisations à renforcer la sécurité des logiciels. Mais il y a beaucoup plus à gagner en allant plus loin et en mettant en place une stratégie DevSecOps tournée vers l’avenir. Une approche progressive et intégrée de la sécurité aide les organisations à opérer un changement culturel qui accroît la transparence, facilite la résolution des problèmes et stimule la collaboration. En plus de protéger l’entreprise, cette évolution apporte tous les ingrédients indispensables pour accélérer le rythme de l’innovation.

[1] https://www.pwc.fr/fr/publications/cybersecurite/global-digital-trust-insights.html
[2] https://www.redhat.com/rhdc/managed-files/rh-enterprise-open-source-report-f27565-202101-en.pdf