Arnaud Lemaire,
directeur technique France de F5 Networks
« Dans le modèle de gouvernance de la sécurité classique, il y-a ceux qui formalisent le modèle d’un côté, ceux qui l’appliquent et ceux qui consomment. Quelle que soit la technologie de sécurité implémentée, ceux qui la consomment la voient comme une contrainte car elle leur impose des limitations ou des adaptations. C’est pour cela que dans les organisations qui ne savent pas imposer un modèle de sécurité, on se retrouve avec des WAF en mode non bloquant ou des RASP en mode écoute, autant dire sans aucune sécurité. L’idée avec le WAF en mode DevSecOps est de pouvoir assurer la gouvernance, mais en intégrant la technologie dans le pipeline de développement et ainsi permettre aux consommateurs de cette sécurité de l’adapter à leur besoin et célérité de développement. Tout en garantissant une sécurité minimum. Pour résumer on ne laisse pas complètement les clefs du camion à ceux qui consomment devant le risque qu’ils vont le désactiver à la première contrainte. »
