En quoi l'intégration des méthodes de travail DevSecOps est devenu un enjeu critique pour les DSI aujourd'hui ?

Le coût d’une cyberattaque et d’une fuite de données est extrêmement élevé pour les entreprises. Dans son étude consacrée en 2020 à 1 971 sociétés qui ont subi des cyber-incidents et des failles dans le monde, l'assureur britannique Hiscox évalue le coût médian d’une cyberattaque à 51 200 €, soit près de six fois le coût observé en 2019 (9 000 €). En plus du coût financier pour les entreprises, les cyberattaques peuvent impacter l’activité principale, éroder l’image et la valeur de la marque, mener à des pertes de clients, et donc impacter le chiffre d'affaires global.

C’est dans ce contexte qu’est né un nouveau besoin de renforcement de la sécurisation des applications avec lesquelles les entreprises travaillent. Aujourd’hui, on constate que les audits de cybersécurité menés sur les applications ne sont plus suffisants, les délais de remontée des failles sont trop longs et exposent les entreprises aux cyberattaques pendant de longues périodes. De ce constat est née une nouvelle méthodologie de travail : le DevSecOps.

Qu’est-ce que le DevSecOps ? 

La méthodologie DevSecOps (Development – Security – Operations) est une extension de la méthodologie DevOps qui permet d’intégrer l’aspect sécurité des données, applications et infrastructures dans le cycle de développement des applications. Là où auparavant la sécurité n’était inspectée qu’à travers des audits réguliers (tous les 2-3 ans) ou à la fin du cycle de développement, DevSecOps vient renverser cette approche pour s’assurer que la sécurité n’est pas compromise par l’ajout de la moindre ligne de code (Dev), ou le moindre changement de configuration des infrastructures (Ops).

Cette approche peut paraître lourde à mettre en place, mais à l’aide d’un outillage efficace, il est possible de configurer des tests de sécurité automatisés qui se lancent à chaque fois que les applications/logiciel/site web sont déployés, et ce pour n’importe quel environnement de travail. Évidemment, il est bien plus efficace de mettre en place cet outillage à grande échelle si les équipes projets travaillent déjà sur des plateformes mutualisées (plateformes DevOps déjà mises en place).

Enfin, pour assurer la pérennité de l’aspect sécurité, il est essentiel qu’un véritable changement de culture soit opéré au sein des équipes projets pour qu’elles intègrent l’aspect sécurité à chaque nouvelle conception d’application, que ce soit du point de vue infrastructure (Ops) ou développement (Dev). Les équipes cybersécurité doivent donc être réellement intégrées au sein des équipes projets pour assurer ce changement de culture et collaborer avec les équipes projets pour qu’elles atteignent le niveau attendu de sécurité.

Quels sont les bénéfices ?

Les 3 bénéfices majeurs de la mise en place d’une approche DevSecOps sont les suivants :

Linéarisation des corrections des failles de sécurité :

L’aspect sécurité est intégré bien plus fortement qu’il ne pouvait l’être auparavant dans les équipes projets. Il devient un item à part entière qu’il faut anticiper dès le début d’un nouveau projet, et suivre régulièrement lors des développements et mises en place d’infrastructures.

Le DevSecOps permet de faciliter cette nouvelle manière de travailler en automatisant les tests de sécurité, qu’ils soient menés sur le code, ou sur les infrastructures. Ils seront donc joués dès les premiers développements livrés sur un environnement de tests, jusqu’aux différentes mises en production. Le suivi des résultats de ces tests sera grandement facilité par l’envoi en temps réel de notifications aux équipes projets concernées par les vulnérabilités remontées. Charge ensuite aux équipes de développeurs et d’exploitants de corriger ces vulnérabilités avant de pouvoir aller plus loin dans le développement du projet et assurer la mise en production sans compromettre la sécurité de l’entreprise.

Les failles de sécurité sont donc détectées bien en amont et leurs corrections sont linéarisées, ce qui permet aux DSI de réagir bien plus rapidement et de mieux maîtriser leurs roadmaps de déploiement. Cela évite notamment de devoir prendre des décisions risquées lorsque les développements sont terminés, que le produit doit absolument être livré, mais que des failles importantes de sécurité sont détectées en bout de chaîne.

Développement d’une culture de la sécurité à la maille de l’entreprise :

La sécurité passe avant tout par la sensibilisation des collaborateurs, que ce soient des utilisateurs des applications, ou qu’ils fassent partie des équipes projets. Un système aura beau être sécurisé, si des accès aux systèmes d’information fuitent à cause d’un manque de vigilance (en télétravail par exemple), la sécurité de l’entreprise peut s’en retrouver totalement compromise.

Pour que l'approche DevSecOps porte réellement ses fruits, il est essentiel de rapprocher les équipes de développeurs, les équipes d’exploitants, et le service en charge de la cybersécurité. Elles doivent partager la responsabilité de porter la sécurité des applications sur lesquelles elles travaillent. Il est donc essentiel que ces équipes soient alignées sur cette responsabilité, qu’elles collaborent en direct (interlocuteurs clairement identifiés) et qu’elles soient le plus transparentes possible sur les éventuelles difficultés rencontrées.

Afin de développer cette culture du partage et d’intégrer au mieux l’aspect sécurité, des formations et des sessions de sensibilisation à la sécurité doivent être planifiées pour l’ensemble des équipes projets. Il est essentiel qu’un interlocuteur cybersécurité soit présent à chaque instance majeure de planification (PI Planning par exemple) ou à chaque démarrage de nouveau projet afin d’être impliqué au plus tôt. La DSI doit également porter ce changement de culture et suivre la mise en place du DevSecOps au plus près car c’est elle qui possède le recul nécessaire pour déterminer les actions les plus prioritaires à mener.

Gain d’efficacité et automatisation de la sécurité informatique :

La méthodologie DevSecOps n’est réellement efficace qu’une fois que les bons outils ont été mis en place. Ils présentent de nombreux avantages et s’inscrivent dans la continuité de la stratégie DevOps.

Les outils principaux à mettre en place vont être par exemple : une application de scan de vulnérabilités de code, une application d’audit automatisé des infrastructures et de leur système de configuration. Ces nouveaux outils vont devoir être intégrés aux processus projets et vont permettre de limiter les erreurs humaines lors de lancement de tests manuels par exemple. Elles vont également permettre de s’assurer que les correctifs produits permettent de résoudre les failles remontées étant donné que de nouveaux rapports de sécurité seront publiés suite à la publication des correctifs.

Afin de fournir le meilleur service digital possible à leurs clients, les entreprises d’aujourd’hui doivent répondre avant tout à l’enjeu de sécurité au sein de leur organisation. Avec la multiplication des cyberattaques et les nombreuses fuites de données, les clients peuvent très rapidement perdre confiance en une entreprise, et ne plus souhaiter utiliser leurs services s’ils ne les considèrent pas comme fiables et sécurisés.

Le DevSecOps est un fort changement organisationnel qui s’inscrit dans la continuité de la transition vers l’agilité à l’échelle initié par le DevOps et qui doit être accompagné et mis en place au fur et à mesure par les DSI. Il vient répondre totalement à cet enjeu critique pour aider les entreprises à concevoir des outils toujours plus fiables et sécurisés, sans pour autant venir rigidifier ou ralentir le processus de publication d’évolutions applicatives.