DevOps c'est bien, DevSecOps c'est beaucoup mieux
D'après David Cearley, analyste chez Gartner, les DSI ont besoin d'intégrer les équipes en charge de la sécurité à leurs équipes DevOps actuelles pour initier une démarche plus globale : le « DevSecOps ».
DevOps, qui est le mélange des équipes chargées du développement des applications (Dev) et de l'exploitation des systèmes (Ops pour « operations »), est un sujet à la mode. Le nouveau modèle est souvent employé conjointement avec les méthodes de développement Agiles et tire parti de l'évolutivité du Cloud computing ; le tout, bien sûr, dans le but de rendre les entreprises plus flexibles et compétitives. D'après un expert, cependant, l'approche telle qu'elle est mise en œuvre aujourd'hui ne va pas assez loin.
David Cearley, analyste chez Gartner Inc., estime en effet que les DSI doivent désormais revoir l'approche DevOps pour y inclure également la sécurité.
Il parle de DevSecOps. « Le développement, la sécurité, l'exploitation des systèmes jouent un rôle de force dynamique pour créer des solutions », explique-t-il.
D'après lui, investir dans des pare-feu et dans la défense périmétrique n'est pas une mauvaise idée en soi. Mais quand on sait ce que coûtent les failles importantes que subissent des entreprises comme Target, Home Depot, Sony, etc., il est clair qu'il ne suffit pas de protéger ses frontières. En intégrant la sécurité à un programme DevOps, les DSI et leurs équipes devront réfléchir à la sécurité de façon plus fine et ce, non pas a posteriori, mais dès le début du processus de développement des logiciels.
En langage IT classique, ajouter la sécurité à un programme DevOps relève d'un problème de collaborateurs et de processus plutôt que de technologie.
D'après David Cearley, dans de nombreuses entreprises, ces équipes sont parfaitement cloisonnées, au point qu'elles n'ont rien en commun. Et pourtant, il serait bien plus facile de réunir tout le monde autour d’une table pour se mettre sur la même longueur d'onde.
Toujours d'après lui, dans la plupart des entreprises, il existe heureusement toujours une personne capable de faire tomber les barrières culturelles et d'exiger que la sécurité soit intégrée dans les meilleures pratiques DevOps : le DSI.
« Le DSI est la seule personne en position d'agir sur ce point, car il chapeaute à la fois les équipes chargées de la sécurité, de l'exploitation, des applications et de l'architecture », affirme-t-il. « En qualité de responsable hiérarchique, il doit diriger les membres de son équipe en leur expliquant que s'ils n'arrivent pas à collaborer, ils doivent se trouver un autre poste. »
L'un des plus grands défis du DSI consiste à confronter les préjugés et les partis pris des équipes sur la méthode de travail. « Le DSI leur demande de repenser tout cela. »
Une suggestion ? Au lieu d'accepter des rapports distincts sur le développement, l'exploitation et la sécurité des applications, les DSI doivent insister sur l'importance de la collaboration en demandant une « approche unifiée de la méthode de développement, de sécurisation, d'exploitation et de gestion des services fournis aux utilisateurs ».
Il recommande également aux DSI d'orienter la conversation sur le risque et non plus sur la sécurité. Une manière d'aider l'IT à mieux intégrer l'aspect métier dans le processus.
« Si vous commencez par la sécurité, l'attention sera concentrée sur les outils nécessaires pour assurer une sécurité maximale. Or je suis désolé, mais ce n'est pas le sujet ! », affirme David Cearley. « Il faut commencer par le risque. » En mettant l'accent sur le risque, les DSI aideront l'entreprise à comprendre comment l'IT peut contribuer à prendre pied sur un nouveau marché ou à expérimenter un nouveau type d'analytique, ainsi qu'à minimiser les dangers potentiels de telles démarches.
Article publié initialement en février 2015 sur SearchCIO
