Evolution logique du DevOps, le DevSecOps ne s’impose encore que lentement, constate Gitlab. Les relations sont encore distantes. En cause, trois cultures.

Lorsque les professionnels de la cybersécurité participent à un processus DevSecOps, les organisations sont trois fois plus susceptibles de découvrir des bogues avant la fusion du code ! C’est bien mieux que de les découvrir après leur déploiement dans un environnement de production. Evident !

Et pourtant… Selon Gitlab, près de la moitié des professionnels de la sécurité ayant participé à l’étude (panel : 4 071 professionnels) estime avoir eu du mal à convaincre les développeurs de faire de la correction des vulnérabilités une priorité. Ce défi peut refléter la maturité globale des pratiques DevSecOps en place. Par exemple, seuls 25% des développeurs ont qualifié leurs pratiques de sécurité de bonnes.

DevSecOps, une transformation en profondeur

Ne serait-il pas temps que les cultures Sec et DevOps s’unissent pour créer une chaîne de confiance continue ? Oui, bien sûr. Mais sur le terrain, on en est loin. A entendre les responsables de la sécurité, aucune automatisation n’est utilisée. Pis : les Dev et les Ops s’opposent plutôt que collaborer. Au mieux, certains projets utilisent des pratiques DevOps et d’autres pas. En fait, tout dépend des chefs de projets mobilisés…

Ces constats devraient susciter une réflexion plus profonde. De toute évidence, le DevSecOps s’appuie sur plusieurs piliers de transformation. Tout d’abord, les exigences de la sécurité doivent être intégrées dès les phases de conception dans une approche Security by Design. Ensuite, des efforts sont à conduire sur l’automatisation et la standardisation des pratiques de sécurité. Il faut notamment industrialiser les tâches de la sécurité dans la chaîne CI/CD. Il faut également uniformiser les outils, les infrastructures et les processus. Les responsabilités entre équipes Sec et DevOps doivent être clarifiées. Et une traçabilité doit être assurée sur l’ensemble des actions, jusqu’en production. Enfin, il faut étendre les activités de sécurisation en production et poursuivre la recherche de vulnérabilités de manière proactive et itérative pour assurer une surveillance continue.

Pas question de ralentir le rythme. Pourtant…

Le chemin semble encore long, constate Gitlab. Seulement 44% des répondants au sondage ont déclaré que les vulnérabilités de sécurité constituaient un indicateur de performance pour les développeurs de leurs organisations.

Dernier constat, l’urgence. La création et le déploiement d’applications plus sécurisées peuvent obliger les organisations à ralentir le rythme de développement. Et ça, pas question ! En même temps, les développeurs sont confrontés au fait d’assumer davantage de responsabilités en matière de cybersécurité, qu’ils le veuillent ou non.

Ne serait-il pas plus simple de s’allier ?