Le DevOps est une expression née de la contraction de deux notions. Il s’agit de celle du Développement, d’où le « Dev », et de celle de l’exploitation système (« Ops »).
Le « DevOps » définit ainsi tous les processus allant d’une partie à l’autre. L’objectif d’une telle démarche est d’agir en développement continu en augmentant le nombre d’itérations , de telle sorte à augmenter la vitesse de sortie du projet . Il s’agit également de supprimer les potentielles erreurs. C’est une démarche qui porte à la fois sur la phase de développement, de test, d’intégration et de surveillance des applications.
Pour ce faire, le DevOps se base sur plusieurs méthodes, allant de l’automatisation à de la simplification, mais surtout à du management afin de faciliter la prise de contact et les retours.
De nos jours, la notion du DevOps a été étendue et l’on parle désormais d’équipes Scrum ainsi que de Management Agile. Justement, ce management tend à donner plus d’importance aux individus eux-mêmes qu’aux outils et processus utilisés. Bien que ces derniers restent importants.
Vous l’aurez compris, il s’agit avant tout de changer un état d’esprit et la culture d’entreprise.
Et le DevSecOps ?
De cette nécessité de développer et faciliter cette prise de contact est née une prise de conscience : celle d’un besoin de sécurisation constant et à tous les niveaux. C’est ainsi qu’est né le DevSecOps.
En effet, si le DevOps permet de développer beaucoup plus rapidement les projets, la mise en place de la sécurité a, en toute logique, bien changé.
À une époque où les projets étaient développés sur plusieurs mois ou moins, la question ne se posait pas. En revanche, il n’est désormais plus possible de se contenter de développer en intégrant la sécurité qu’en toute fin de projet. C’est d’autant plus vrai dans notre période actuelle où celle-ci fait son nid dans toutes les législations et préoccupations.
Mais pourquoi donc cette nécessité ?
Le DevSecOps découle de la nature même du DevOps, se basant sur des données dites « itératives », en clair, sur des échanges répétitifs. C’est pourquoi la démarche du DevSecOps est devenue incontournable. Il s’agit de compenser l’augmentation de la vulnérabilité créée par l’augmentation des échanges et la potentielle fuite de données, entre autres.
Le DevSecOps se base donc lui aussi sur ce principe itératif, avec des étapes successives et récurrentes de checking et vérifications.
C’est d’ailleurs pourquoi le DevSecOps se distingue des mesures de sécurité externes comme des pare-feu. En effet, celui-ci est intégré directement depuis le code et sur l’ensemble du projet. Ce qui ne veut pas dire pour autant que les mesures de blocage externe ne sont plus indispensables.
Les différents moyens à disposition
Comme explicité plus haut, la notion de DevOps intégrant toutes les phases de développement, l’aspect sécurité qui y est lié l’est également.
En revanche, si la partie DevSecOps s’intègre dans l’ensemble du processus CI/CD, elle demeure majoritaire au niveau de la partie de « review », moment d’échange entre le code et l’infrastructure (voir schéma ci-dessus).
Ainsi, la démarche de sécurisation passe par un certain nombre d’actions qui peuvent être résumée par les éléments suivants :
- Des analyseurs de sécurité code/container
- L’ajout de tests de sécurité au niveau des tests unitaires
- L’automatisation des fixs de sécurité
- La vérification de l’application de standards définis
- La vérification de l’élimination d’éléments d’identification du code
- La systématisation des pentests
- Une veille sécurité sur les technologies utilisées
- Du virtual patching rapide afin de temporiser entre la publication et la mise en place du patch définitif
- Enfin, la mise à disposition d’un Security Champion (entendez responsable des questions de sécurité) suite aux levées d’alertes. Il effectue un contrôle du développement mais également un accompagnement qui permet aux équipes DevOps de monter en compétences sécuritaires.
Les avantages du DevSecOps
Comme mentionné plus haut, le fer de lance du DevSecOps est axé autour des compétences humaines. Le DevSecOps, ce n’est pas seulement des processus d’automatisation et de simplification : ce sont aussi des experts sécurité. Ils permettent une montée en compétences de l’ensemble du Scrum, et c’est en partie grâce à cette élévation que l’on gagne autant de temps lors du développement des projets.
Au-delà du simple aspect sécuritaire amené par le DevSecOps, celui-ci permet une plus-value dans la remontée d’informations depuis l’infrastructure en place vers les équipes Dev et Ops.
Il peut proposer la mise en place de solutions d’authentification centralisées (via Keycloak par exemple) ou la séparation des rôles. Que ce soit en infrastructure ou en applicatif.
Enfin, le meilleur avantage du DevSecOps se retrouve au niveau du Time to Market. Lorsque la sécurité est reléguée à la fin du processus de développement, les entreprises peuvent être confrontées à une longue période de sécurisation et souvent au renvoi en développement.
L’aspect holistique du DevSecOps permet, en intégrant la sécurité dès le code, d’éviter d’avoir à faire des allers-retours au sein des membres du Scrum et éviter d’avoir à entreprendre des actions coûteuses, car on le sait, le temps, c’est aussi de l’argent !
Le DevSecOps vous permet d’obtenir une cohérence sur la globalité de la plateforme ; que ce soit au moment de sa mise en place ou durant son évolution.
Vous cherchez des experts sécurité et DevSecOps pour vous aider dans votre partie opérationnelle ? Contactez-nous !
