Contraintes par l’amélioration constante de l’expérience utilisateur, les entreprises utilisent de plus en plus la démarche DevOps. Une approche qui, en permettant d’appliquer le principe d’agilité au développement et à la production, réduit considérablement les délais de livraison de nouveaux produits et services. Mais si cette démarche présente de nombreux avantages, elle révèle aussi un
Contraintes par l’amélioration constante de l’expérience utilisateur, les entreprises utilisent de plus en plus la démarche DevOps. Une approche qui, en permettant d’appliquer le principe d’agilité au développement et à la production, réduit considérablement les délais de livraison de nouveaux produits et services.
Mais si cette démarche présente de nombreux avantages, elle révèle aussi un dysfonctionnement dans l’intégration de la sécurité. « Ainsi, confirme Jean-Louis Lormeau, Digital Performance Architect chez Dynatrace, il est courant de constater que la démarche DevOps ne s’intègre pas aux processus du RSSI des entreprises. Basés sur des bonnes pratiques de l’IT traditionnel nécessitant le déploiement de solutions et de tests de sécurité longs à mettre en œuvre, les processus de sécurité des entreprises sont incompatibles avec la démarche DevOps. C’est pourquoi, bien souvent, le volet sécurité d’un projet DevOps est réduit à son strict minimum c’est-à-dire aux éléments de sécurité intégrés aux outils utilisés par les développeurs. »
Selon l’étude « Application Security and DevOps Report 2016 » de HPE, seuls 20 % des professionnels de l’exploitation IT, responsables sécurité et développeurs interrogés, reconnaissent effectuer des tests de sécurité des applications durant les phases de développement. Et ils sont 17 % à n’utiliser aucune technologie particulière pour sécuriser leurs applications. Pourtant, 99 % des professionnels interrogés conviennent que l’adoption d’une culture DevOps peut améliorer la sécurité des applications. Pourquoi alors un tel manque de considération de la sécurité dans la démarche DevOps ?
Les trois raisons de cette difficile alliance
Pour notre expert : « les RSSI ou responsables sécurité des entreprises fonctionnent encore sur des bonnes pratiques traditionnelles imposant des audits de sécurité fonctionnant de façon ponctuelle et réalisés bien souvent manuellement. Ces process longs sont en totale contradiction avec DevOps. Il est donc indispensable pour les entreprises intéressées par la démarche DevOps, de déployer des solutions de tests automatisées pour collecter toutes les données relatives à la sécurité des applicatifs et alerter l’entreprise en temps réel d’éventuelles vulnérabilités. Grâce au traitement analytique intégré, les entreprises peuvent automatiser les processus de vérification et d’audit de sécurité des applications. »
Outre ces aspects techniques, l’étude révèle aussi qu’il existe des barrières organisationnelles entre les développeurs et les professionnels de la sécurité. Ainsi, 90 % des professionnels de la sécurité déclarent que l’intégration de la sécurité des applications est devenue plus difficile depuis que DevOps est entré dans leurs organisations.
Troisième raison enfin : le manque de sensibilisation des développeurs à la problématique de la sécurité. Pour Jean-Louis Lormeau, « il y a là, pour les RSSI, un véritable travail d’évangélisation et de communication à effectuer auprès des développeurs pour les inciter à embarquer, dans leur code, des éléments spécifiques à la sécurité permettant, par exemple, de détecter directement les usages malveillants ou les tentatives d’intrusions ».
