Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Il n’y a plus de place pour les silos dans la sécurité 

septembre 2019 par Lori MacVittie, Principal Technical Evangelist, F5 Networks

Tout a commencé avec le DevOps. Puis il y a eu le NetOps. Et maintenant le SecOps. Ou est-ce le DevSecOps  ? Ou peut-être même le SecDevOps  ?

Bref, quel que soit le nom donné à tous ces processus, il ne s’agit bien souvent que des mêmes vieux concepts et des mêmes vieux silos qui ont la vie dure  !

Pire, il semblerait que certaines entreprises passent plus de temps à réfléchir à comment nommer ces nouveaux profils qu’à déterminer ce qu’elles cherchent vraiment à accomplir.

William Shakespeare a écrit il y a fort longtemps «  Ce que nous appelons rose, par n’importe quel autre nom sentirait aussi bon  ». Il serait bon de ne pas l’oublier aujourd’hui en voyant se multiplier les factions au sein de la famille des «  Ops  ». Car changer de nom ne sert à rien si l’on ne change pas les pratiques sous-jacentes (et c’est évidemment ça le plus compliqué…)

Ainsi à l’époque où l’on voyait le Cloud avec des lunettes roses (jeu de mots totalement assumé), beaucoup d’experts critiquaient les entreprises qui tentaient de construire un Cloud privé (sur site), car cela ne correspondait pas à leur propre définition de ce que devait être «  le Cloud  ». Ils oubliaient tout simplement que le succès d’un projet se mesure à son résultat, et non à son adhérence à la définition prétentieuse de quelqu’un d’autre… (qui n’est d’ailleurs souvent en rien associé au projet)

Ces entreprises recherchaient l’agilité, l’efficacité et la rapidité en adoptant un nouveau mode de déploiement, de configuration et de gestion de l’infrastructure. Et, par leurs premiers projets, elles ont changé les comportements et les pratiques grâce à l’utilisation de la technologie. Et c’est bien ce résultat-là qui compte.

Aujourd’hui, la guerre des terminologies ne se concentre plus vraiment sur le Cloud mais plutôt sur le X-Ops et la sécurité, considérée comme la dernière arrivée dans cette danse des acronymes.

Comment appeler les profils à la croisée des opérations, du développement et de la sécurité  ? Il y a déjà beaucoup de propositions. Beaucoup trop, même. Peut-être est-il nécessaire, au contraire, de réduire les distinctions. Après tout, ne serait-il pas suffisant de parler des pratiques d’opérations modernes face aux opérations traditionnelles  ?

Les opérations modernes utilisent des technologies comme le cloud et l’automatisation pour construire des pipelines qui codifient les processus et ainsi accélérer la livraison et le déploiement des applications. Et elles le font en changeant les comportements et les pratiques.

Ces équipes sont axées sur la collaboration et la communication, utilisent la technologie pour moderniser et optimiser des processus vieux de plusieurs décennies qui entravent la livraison et le déploiement des applications. Leurs membres travaillent ensemble, et non au sein d’équipes X-Ops cloisonnées, pour atteindre leur objectif de mises en production plus rapides et plus fréquentes, qui apportent de la valeur à l’entreprise et satisfont les consommateurs.

Cela résume parfaitement les bénéfices des «  X-Ops  » sans pour autant créer des silos.

Tandis que chercher comment appeler la fonction sécurité lorsqu’elle s’intègre aux opérations modernes aboutit à tout le contraire. Car assigner de nouveaux rôles figés dans un domaine qui ne peut réussir que par une approche souple et collaborative est totalement improductif.

Cela ne fait que créer de nouveaux silos et n’apporte aucun gain en matière de vitesse et de passage à l’échelle des développements et des livraisons. Et outre, cela peut même conduire à ce que d’autres groupes abdiquent totalement leur responsabilité sur la sécurité à cette nouvelle équipe dite «    ». Parce que, après tout, c’est eux qui ont le terme «  sécurité  » dans leur nom, non  ?

Cela ne peut évidemment pas fonctionner, car la sécurité des applications est une pile complète qui nécessite une autre pile complète pour parvenir à mettre en œuvre les bonnes protections. Sécurité réseau, sécurité du transport et sécurité des applications ne font qu’une, et il serait naïf d’imaginer les séparer. La surface d’attaque d’une application repose aujourd’hui aussi bien sur les sept couches du modèle OSI que sur la pile que constitue son environnement opérationnel.

Il n’y a pas de place pour les silos lorsqu’il s’agit de sécurité

L’objectif de la transformation numérique des entreprises devrait être de moderniser les opérations - de la technologie aux équipes qui l’utilisent - pour innover et apporter de la valeur à l’entreprise. Les opérations modernes ne devraient pas s’occuper des titres de chacun, car elles sont concentrées sur le résultat. Les opérations modernes travaillent ensemble, communiquent librement et collaborent dans tous les domaines afin de mettre en place un pipeline de livraison et de déploiement efficace et adaptable.

Cela nécessite évidemment la collaboration de spécialistes des réseaux, de la sécurité, de l’infrastructure, du stockage et du développement. Mais des spécialistes qui savent travailler ensemble, ne s’isolent pas dans leur périmètre et partagent un socle commun. Ainsi sur le réseau, les entreprises utilisent déjà des étiquettes (des «  tags  ») pour baliser le trafic et appliquer les politiques qui contrôlent quels périphériques peuvent parler à quelle infrastructure et à quelles applications. Dans les groupes de conteneurs, les étiquettes sont aussi utilisées pour isoler, restreindre, contraindre et interdire. Bref, pour faire de la sécurité  ! Et bien dans les organisations des «  ops  », les étiquettes peuvent avoir le même effet, pour permettre de s’appuyer sur des talents multiples, sans silos et sans le poids des titres imposés (l’un des principes des «  tags  » est justement qu’une même entité peut en recevoir plusieurs, et qu’ils peuvent évoluer librement. Ils constituent un mode de taxinomie plus souple que les rubriques figées… qui ne sont pas quant à elles sans rappeler les silos de l’entreprise  !)

Il est certes peut-être plus flatteur d’être considéré comme un «  ops moderne  » plutôt qu’un «  ops traditionnel  ». Mais la réalité c’est qu’au sein d’une majorité d’entreprises les équipes sont dans un état de transition entre les deux, et que c’est le bon moment pour savoir dans quelle direction orienter la transformation. Faut-il faire perdurer les silos ou saisir l’opportunité de les faire disparaitre  ? Trop de ressources sont encore dépensées pour savoir comment chacun doit s’appeler. Seul le résultat doit compter. Et pour y parvenir, il est plus efficace de créer un environnement collaboratif dans lequel les applications sont livrées et déployées plus rapidement, plus fréquemment et surtout, en toute sécurité. C’est ça, le succès. Et pas le titre  !




Voir les articles précédents

    

Voir les articles suivants