Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DevSecOps : une approche désormais incontournable

juin 2021 par Jérôme Warot, Vice-président, Technical Account Management, South EMEA chez Tanium

Les développeurs sont plus que jamais soumis au diktat de la course contre le temps dans leurs activités : conception itérative, mise à disposition de nouvelles versions de plus en plus régulièrement, viabilité du produit réduite parfois aux fonctions essentielles. Pour gagner du temps et se concentrer sur le code, ils ne se préoccupent guère d’autre chose, à commencer par la sécurité. Ils la perçoivent souvent comme un frein au cycle de développement, voire au développement du produit lui-même.

Pourtant, les développeurs de logiciels et les professionnels de la sécurité doivent surmonter leurs différences et travailler main dans la main. C’est plus difficile qu’il n’y paraît, mais de bonnes pratiques existent déjà. Explications.

Combler le fossé entre les équipes DevOps et de sécurité, un impératif

Ces bisbilles ne sont pas nouvelles. Elles sont nées d’un clivage de longue date dans les entreprises entre les équipes DevOps et de cybersécurité et ont été accentuées par les défis soulevés par la crise sanitaire. Avec des millions de télétravailleurs accédant à des systèmes informatiques contenant des données sensibles depuis des dizaines de millions de postes de travail, le nombre de vulnérabilités et de failles de sécurité a explosé.

Le fossé qui sépare ces équipes n’aide pas, mais elles doivent travailler ensemble. A ce titre, l’approche DevSecOps vise à resserrer ces liens en intégrant des membres de l’équipe de sécurité et leurs processus dans le cycle de développement du produit afin de détecter les vulnérabilités à un stade précoce. Malgré cela, des problèmes culturels profonds, une pénurie mondiale de talents en matière de sécurité et des structures organisationnelles inadaptées sont autant de freins à la bonne collaboration entre les équipes. Toutefois, plusieurs bonnes pratiques ont émergé, à commencer par une adhésion plus claire des directions des entreprises à cette approche, ainsi que le développement d’une éthique de la collaboration.

Les dirigeants donnent le ton, les responsabilités évoluent

Suite aux attaques des vers Code Red et SirCam qui ont touché Microsoft en 2001, Bill Gates prit la décision de faire de la sécurité une partie intégrante du codage de tous ses produits, c’est ainsi qu’est né le « Security Development Lifecycle », un ensemble de pratiques qui intègrent la sécurité dans le produit au fur et à mesure de son développement. Depuis, les entreprises du secteur technologique ont adopté - et adapté - ces pratiques.

Intégrer la sécurité au cycle de vie du développement du produit peut très bien avoir un impact sur les délais. Toutefois, si les dirigeants n’en font pas une priorité, il sera beaucoup plus compliqué de convaincre les équipes DevOps de mettre en place ces pratiques . L’un des moyens de combler ce fossé consiste à intégrer des tests logiciels en amont du cycle de développement, plutôt que de les ajouter après coup. Cela encourage également, voire exige, une plus grande collaboration entre les équipes de sécurité et les développeurs.

La formation est également l’un des moyens d’y parvenir. Fournir aux développeurs des compétences en matière de sécurité est une opportunité bénéfique pour la croissance de l’entreprise. De même, de nombreux analystes sécurité auraient intérêt à apprendre les bases du code utilisé par les DevOps.

Adopter l’approche DevSecOps pour repenser la sécurité et le développement

Depuis une dizaine d’années, l’approche DevOps a permis de faire collaborer étroitement les développeurs avec les équipes opérationnelles afin de concevoir de nouveaux logiciels plus rapidement et plus efficacement. L’approche DevSecOps s’appuie sur la même idée en intégrant les tests de sécurité au processus pendant le développement, et non après.

L’approche DevSecOps n’implique pas seulement les équipes de sécurité plus tôt dans le cycle de développement, elle permet également d’analyser de façon globale la tolérance au risque. Une mise au point nécessaire pour expliquer aux développeurs ce qui arriverait si les vulnérabilités ne sont pas détectées rapidement. Le rôle des équipes de sécurité en matière de communication de ces risques est alors primordial.

Ainsi, lorsqu’il s’agit de rapprocher les deux parties, des efforts à petite échelle sont recommandés, comme l’examen de l’état des processus de sécurité et des niveaux de menace sur tous les produits. Cela permettra de prendre conscience de l’endroit où les vulnérabilités peuvent apparaître. Ensuite, les deux équipes pourront utiliser des outils d’automatisation, tels que des agents de détection des logiciels malveillants, pour traquer les vulnérabilités restantes.

Interrompre le développement du produit est parfois la meilleure solution

Parfois, les choses fonctionnent. Dans d’autres situations, ce n’est pas le cas. Lorsque les deux parties ne parviennent pas à travailler ensemble, il y a deux causes à cela : un écart par rapport aux objectifs fixés qui entraîne des délais supplémentaires et bouleverse des processus, ainsi que les intérêts propres à chaque équipe.

À ce stade, il vaut mieux interrompre le développement, même si cela implique de repousser la date de sortie. Mieux vaut découvrir une faille de sécurité qui fait reculer un projet de deux mois, que de faire face à une catastrophe potentielle après un lancement public.

Il y aura toujours un coût, mais au bénéfice d’une prévention salutaire et d’une conformité réglementaire. L’union des équipes de sécurité et de DevOps n’est pas seulement bénéfique pour les employés, cela constitue en définitive un avantage concurrentiel indéniable.


Voir les articles précédents

    

Voir les articles suivants