Agilité et sécurité font rarement bon ménage, comment les coordonner ? Matthieu de Montvallon, directeur Technique ServiceNow France, répond à la question pour les lecteurs de Solutions Numériques.
DevOps, un nom qui parle de lui-même. En réunissant Développement et Opérations, le DevOps annonce un haut niveau de rapidité et d’agilité, avec à la clé des délais réduits de lancement des nouvelles initiatives logicielles.
Très bien, mais quid de la sécurité ? Le terme ne figure pas dans l’expression « DevOps ». Et si ce concept fait la part belle à l’agilité, la sécurité a pour sa part la mission de vérifier que les nouveaux logiciels soient entièrement testés et protégés contre des failles et des menaces connues. Or agilité et sécurité font rarement bon ménage.
Peut-être est-ce pour cette raison que les équipes chargées de la sécurité n’ont pas été intégrées d’emblée aux équipes de DevOps ? C’est une erreur, car lorsqu’elles opèrent séparément, les équipes DevOps et Sécurité entrent en conflit. Plus le DevOps est rapide, moins les logiciels sont sécurisés. Et plus la sécurité s’immisce dans le processus, moins le DevOps est agile.
Il existe aujourd’hui une meilleure approche. En intégrant la sécurité au processus DevOps, les deux objectifs sont remplis : le DevOps atteint le degré de rapidité et d’agilité souhaité, tandis que l’équipe Sécurité assure le niveau de sûreté et de protection requis contre les failles et les menaces. Facile à dire…
Intégrer la sécurité au processus DevOps est un challenge. La sécurité est en soi une course aux armements particulièrement complexe. De nouvelles failles et menaces surgissent quotidiennement, de sorte qu’il est difficile de se tenir totalement informé sans perdre de son agilité. De plus, la sécurité est habituée à un certain cloisonnement. Franchement, les responsables de la sécurité se présentent souvent en « maîtres des arts obscurs », mais certainement pour de bonnes raisons.
Comment intégrer la sécurité au DevOps ?
Les avantages potentiels étant tellement importants, il faut étudier de près les possibilités d’intégrer efficacement la sécurité au DevOps.
– Tout d’abord, cette intégration implique la rupture de certains processus et préjugés bien enracinés. Par exemple, au lieu de contrôler la sécurité lors de la dernière étape, pourquoi ne pas mettre en place un processus continu qui commencerait au premier jour du cycle de vie d’un projet logiciel ? C’est une opération délicate qui nécessite l’automatisation des tâches de sécurité élémentaires.
– Ensuite, alors que nous incorporons la sécurité dans le processus DevOps, il importe d’automatiser les tâches courantes pour éviter tout retard. Par exemple, l’automatisation de l’analyse des serveurs permet de vérifier leur conformité aux standards en place tandis que l’automatisation des tests de pénétration facilitera l’identification au plus tôt des failles potentielles.
– Au-delà de ces aspects, les équipes de sécurité devront modifier leur mode de fonctionnement. Au lieu de se considérer comme une entité autonome et indépendante, elles devront « jouer dans la même cour ». La Sécurité doit s’intégrer à DevOps et travailler en équipe.
Quel nouveau nom pour ce processus ? DevSecOps ?
Évidemment, personne ne sait réellement comment appeler cette coordination du DevOps et de la sécurité. Mais quel que soit le nom choisi, il est grand temps que la sécurité participe au DevOps afin de permettre aux entreprises de combiner un niveau optimum de vitesse, d’agilité, de sécurité et de protection.