Accueil DevSecOps, la transformation digitale des DSI

DevSecOps, la transformation digitale des DSI

Alors que le développement agile s’est désormais imposé dans de nombreuses entreprises, la cybersécurité doit désormais trouver sa place et pousser les développeurs vers le « Secure by design ».

 

La cybersécurité doit être présente à chaque étape du SDLC (cycle de vie de l’application): Cela passe par des outils et des processus, mais aussi par une remise en cause de l’équipe de sécurité qui doit sortir du silo où elle a longtemps été enfermée. Crédit : DoD Enterprise DevSecOps Reference Design, 2019

Le besoin d’agilité a poussé les grandes entreprises à se convertir à DevOps. Ces grands groupes internationaux se sont dotés de structures de type « Agile at Scale » afin de mener à bien leur transformation digitale. Néanmoins, la sécurité a eu bien du mal à trouver sa place dans cette nouvelle organisation : administrateurs et développeurs considéraient les experts en sécurité comme un frein dans une organisation entièrement tournée vers l’efficacité. Le pari des DSI est d’intégrer pleinement les bonnes pratiques de sécurité au sein des processus de création des applications. Les équipes sécurité ne doivent plus opérer comme un silo qui intervient en dernier lieu, au moment de la mise en production de l’application. Il est temps de basculer dans l’ère du DevSecOps.

Les RSSI doivent se rapprocher des équipes agiles

Les membres de l’équipe cybersécurité doivent être intégrés au moins de façon partielle aux équipes DevOps de manière à s’assurer que les bonnes pratiques de sécurité sont effectivement bien appliquées tout au long du cycle de vie de l’application. C’est sans doute le plus grand défi à relever dans cette transformation qui doit mener aux préceptes DevSecOps. La cybersécurité doit être prise en compte à chaque étape de ce cycle de vie, depuis les phases très amont de conception de l’architecture logicielle et technique jusqu’à l’exploitation, en passant par les étapes itératives de Build. Le code source doit être écrit dans le respect des bonnes pratiques de sécurité éditées par les RSSI, testé avec des outils automatiques de test de sécurité, puis faire l’objet de PenTest (tests de pénétration) et ce souci de créer un code à la fois « Secure by design » mais qui intègre aussi la notion de « Privacy by Design » afin de s’assurer de la conformité de l’application aux diverses réglementations liées à la protection des données personnelles.