DevSecOps, au-delà d’une pratique, une nécessité ?

DevSecOps
DevSecOps

Le DevOps, ou l’outillage d’une culture

Le DevOps est avant tout un état d’esprit, une manière de travailler qui rassemble les besoins des développeurs (monter des serveurs rapidement, délivrer en production en continue …) et les besoins des opérationnels (un
environnement de production stable, des normes respectées, du code de qualité …)

Les notions de DevOps sont présentées de manière plus précise dans les articles : articles sur le devops

Afin de répondre au mieux à cette culture DevOps, un ensemble d’outils font leurs apparitions, tel que les PIC, les outils de déploiement automatisés, des outils de testings (BDD, TDD), ainsi que des outils d’audit de code ou
des tests de performances.

Cet outillage permet d’organiser, normer, aider et accompagner les équipes dans leurs objetifs de délivrer de la valeur.

Les équipes ont maintenant une culture et les outils pour se protéger des « perturbations » internes à leur organisation c’est-à-dire des problématiques que l’équipe peut elle-même créer (ex : des régressions,
environnement différent entre la pré-prod et la production …)

Pourquoi le DevSecOps ?

Mais qu’en est-il alors des perturbations externes ? Plus précisément, quelle réponse une entreprise peut-elle proposer face aux questions de cyber attaques ?

Comme le Sec l’indique, le DevSecOps embarque un aspect sécurité. La sécurité informatique doit être une partie intégrante du produit, et cela dès sa genèse, dès le Framing : Le framing agile

Enjeux

« Eh bien, je suppose que je vois un monde différent de vous. Et la vérité est que ce que je vois me fait peur. Je suis effrayé parce que nos ennemis ne nous sont plus connus. Ils n’existent pas sur la carte, ce ne sont pas des
nations, ce sont des individus. Regardez autour de vous, de qui avez-vous peur ? Pouvez-vous voir un visage, un uniforme, un drapeau ? Non. Notre monde n’est pas plus transparent maintenant. Il est plus opaque. »

M, James Bond Skyfall

Selon le site du Gouvernement Français, « Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises :

  • La cybercriminalité (phishing, ransomware…)
  • L’atteinte à l’image (déni de service ddos, defacement, malware…)
  • L’espionnage
  • Le sabotage »

Selon le site « Le site boursier.com » :

  • 67% des entreprises françaises ont déclaré un cyber-incident en 2018, soit une hausse de 125% par rapport à l’année précédente
  • Il y a une hausse de la fréquence des attaques
  • Le coût moyen de ces attaques est de 97.771 euros
  • 81% des entreprises sont encore mal préparées pour pouvoir faire face à une cyber-attaque

Comme pour le DevOps, le DevSecOps est avant tout un changement de culture, un état d’esprit, un réflexe !

Comment acculturer le DevSecOps ?

Historiquement (et dans certains groupes c’est encore le cas), l’aspect sécurité est géré par une équipe différente que celle de réalisation, et les questions de sécurité informatique ne viennent parfois que juste avant la mise en production du produit.

Les stakeholders, le PO et l’équipe de réalisation doivent avoir conscience de ces menaces, ainsi que des impacts en termes d’image, en terme légal mais aussi en terme financier (que ce soit l’attaque en elle-même,
mais aussi la perte des clients). L’aspect sécurité du produit doit donc être réfléchis dès le départ (Le framing agile). L’équipe doit être sensibilisée,
informée et avoir les moyens de répondre à ce nouveau défi.

Le DevSecOps doit alors entrer dans l’ADN de l’entreprise : une connaissance des attaques, mais aussi des bonnes pratiques d’implémentation doivent devenir des réflexes. Chaque personne doit avoir conscience qu’il est un élément essentiel à la cyber sécurité : campagne de sensibilisation, connaissance des risques et enjeux pour l’entreprise.

Tout comme le DevOps, des outils permettent d’aider les équipes : normes / bonnes pratiques de développement, analyseurs de sécurité, automatisation de tests de sécurité, utilisation de ssh, de passerelles API sécurisées …

Lors de la phase d’acculturation, il est toujours bon de faire appel a des spécialistes dans ce domaine afin :

  • De partager et de mettre en place les bonnes pratiques
  • Installer et paramétrer l’outillage
  • Analyser et expliquer les résultats (les faux positifs par exemple)
  • Donner les bonnes pratiques aux équipes afin de monter en compétence sur ce nouveau défi.

Comme pour une transformation Agile et son accompagnement par un coach, la mise en place de DevSecOps nécessite l’accompagnement d’experts pouvant évangéliser les enjeux et les pratiques, mais aussi
accompagner les entreprises sur leur stratégie sécurité, le choix des outils et leurs mises en place.

[ Article lu 1 fois aujourd'hui ]

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.