Accueil Sécurité et DevOps

Sécurité et DevOps

D’abord considérées comme incompatibles, sécurité et DevOps se rapprochent. Mais cela exige de nouvelles pratiques.

 

L’approche DevOps consiste à intégrer au sein d’un même cycle court le développement, les opérations IT et la qualité. Mais la sécurité semble avoir d’abord eu du mal à y trouver sa place : opérations et développement estimaient qu’elle serait un frein dans un processus tourné vers l’efficacité. L’on sait aujourd’hui que cela n’est pas vrai : le DevOps intègre différents domaines fonctionnels pour livrer un produit fini, et la sécurité a toujours été l’un d’entre eux.La seule différence est que désormais la sécurité n’est plus un silo et n’opère plus dans un temps distinct des autres.

La sécurité intégrée au développement

Cela nécessite certes d’adapter la façon dont la sécurité interagit avec les autres fonctions. Mais les gains sont immenses : cela lui permettra de briser son isolement et ainsi de mieux prouver sa valeur. En outre, la prise en compte au plus tôt des exigences de sécurité facilite le respect des obligations réglementaires (« privacy by design »).

Nous sommes ici dans le domaine du conseil et sur un marché émergent. Au croisement de la sécurité, de la production et du développement logiciel, les prestations d’accompagnement que vous choisirez exigeront des équipes de consultants pluridisciplinaires et la maîtrise des outils d’automatisation, de tests et de sécurité.


 

3 conseils pour intégrer la sécurité au DevOps

1 • Automatiser au maximum
Les tests de sécurité devraient être intégrés aux tests fonctionnels et unitaires et automatisés de la même manière.

2 • Tester tôt, et tester souvent
Les tests de sécurité devraient être menés au plus tôt, sur le code de préproduction et à la même fréquence que les tests fonctionnels ou unitaires.

3 • Intégrer la télémétrie dans le code.
Du code dédié à la remontée d’information de sécurité devrait être injecté dès le développement et exploité dès la phase de tests.