DevSecOps
Qu’est-ce que le DevSecOps ?
Le modèle DevOps ne s’adresse pas uniquement aux équipes de développement et d’exploitation. Si vous souhaitez tirer pleinement parti de l’agilité et de la réactivité d’une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications.
Pourquoi ? Par le passé, les processus liés à la sécurité étaient isolés et confiés à une équipe spécifique, à l’étape finale du développement. Cela ne posait pas de problème à une époque où les cycles de développement duraient des mois, voire des années. Mais cette époque est révolue. Si une approche DevOps efficace garantit des cycles de développement rapides et fréquents (parfois quelques semaines ou jours), des pratiques de sécurité dépassées peuvent réduire à néant les bénéfices des projets DevOps les plus efficaces.
À présent, dans le cadre de travail collaboratif du modèle DevOps, la sécurité est une responsabilité partagée, intégrée du début à la fin. Cette notion est si importante qu’elle a donné naissance à l’expression « DevSecOps » pour souligner la nécessité d’intégrer la sécurité aux projets DevOps.
L’approche DevSecOps implique de réfléchir à la sécurité de l’application et de l’infrastructure dès le départ. Il convient également d’automatiser certaines passerelles de sécurité afin d’éviter tout ralentissement des workflows DevOps. Pour atteindre ces objectifs, il faut commencer par sélectionner les outils capables d’assurer l’intégration continue de la sécurité, par exemple avec un environnement de développement intégré commun qui offre des fonctions de sécurité. Toutefois, pour que la sécurité DevOps soit efficace, il faut bien plus que de nouveaux outils. Il est nécessaire de mettre en œuvre les changements culturels du DevOps au sein des équipes chargées de la sécurité et ce, au plus tôt.
Que l’approche soit nommée « DevOps » ou « DevSecOps », il a toujours été préférable de faire de la sécurité une partie intégrante du cycle de vie des applications. L’approche DevSecOps repose sur une sécurité intégrée et non sur un périmètre de sécurité qui protège les applications et les données. Lorsque la sécurité est reléguée à la fin du processus de développement, les entreprises qui adoptent l’approche DevOps peuvent se retrouver confrontées à de longs cycles de développement, ce qu’elles essayaient justement d’éviter.
Le DevSecOps met notamment en évidence la nécessité d’impliquer les équipes chargées de la sécurité dès le début des projets DevOps, en vue d’y intégrer les fonctions de sécurité des informations et d’en planifier l’automatisation. Cette approche souligne également la nécessité d’aider les développeurs à coder en gardant la sécurité à l’esprit. Pour ce faire, les équipes de sécurité doivent partager la visibilité dont elles bénéficient, ainsi que leurs commentaires et leurs informations sur les menaces identifiées. Comme la sécurité n’a pas toujours été considérée comme une priorité dans le développement d’applications traditionnel, il peut être utile de proposer des formations en la matière aux développeurs.
En quoi consiste réellement la sécurité intégrée ? Pour commencer, une bonne stratégie DevSecOps implique de déterminer la tolérance aux risques et de réaliser une analyse des risques/bénéfices. Combien de contrôles de sécurité nécessite une application donnée ? Quelle est l’importance de la rapidité de mise sur le marché pour les différentes applications ? Puisque l’exécution de contrôles de sécurité manuels peut prendre beaucoup de temps, l’automatisation des tâches répétées est un élément clé de l’approche DevSecOps.
Source : Redhat