Sécurisation des projets DevOps : la culture serait-elle la clé du succès ?

DéveloppeursPolitique de sécuritéProjetsSécurité

Le DevOps est le nouveau moteur de la croissance mondiale. Partout dans le monde, les entreprises réagissent de plus en plus vite à l’évolution des demandes du marché en déployant des processus de développement agiles et automatisés. Cela n’est pas sans faire face à un certain nombre de défis, la cyber-sécurité demeurant le principal obstacle à la bonne mise en œuvre des projets DevOps.

 Bien souvent, il ne suffit pas de fournir les bonnes ressources aux équipes de sécurité : le plus difficile consiste à instaurer un changement de culture à l’échelle de l’entreprise. C’est l’unique moyen de surmonter des défis majeurs tels que la persistance des silos technologiques ou le manque d’implication de certaines parties prenantes, et d’assurer ainsi la réussite à long terme des projets DevOps.

Une vague mondiale

Le DevOps est partout. Une récente étude Trend Micro a révélé que plus d’un tiers (37 %) des organisations mondiales ont déjà mis en place des projets de ce type, et que 44 % y travaillent actuellement. Ainsi le DevOps devient aujourd’hui une priorité pour la plupart des entreprises (79 %).

Comment expliquer cela ? Le jeu en vaut la chandelle, tout simplement : les entreprises ont tout à y gagner, à commencer par des déploiements plus rapides et des gains d’efficacité au niveau des processus métiers. Ironiquement, l’étude révèle également que l’amélioration de la sécurité informatique est perçue comme l’un des principaux avantages offerts par l’approche DevOps, même si les entreprises craignent toutefois que les projets DevOps ne les exposent à des risques de cyber-attaque et de vol de données plus importants.

Les défis du DevOps en matière de sécurité sont en partie liés aux nouvelles architectures informatiques utilisées, ainsi qu’aux exigences très importantes en termes de rapidité. Cela a donné lieu à une nouvelle génération de micro-services horizontaux. Susceptibles d’être actualisés plusieurs fois par jour, ceux-ci n’ont plus rien à voir avec les applications verticales monolithiques d’hier, qui étaient mises à jour, au mieux, une fois par mois. Ces environnements sont si fluides et versatiles qu’il peut s’avérer très complexe de les sécuriser – en particulier si la sécurité est perçue comme un dispositif réactif, périphérique, lent et manuel.

Confrontés à de très courts délais de mise sur le marché, les développeurs font souvent des compromis sur la sécurité : d’après un rapport publié en mars, les vols de données liés à l’utilisation de modules logiciels open source ont augmenté de 71 % lors des cinq dernières années.

L’heure du changement

Les entreprises auraient-elles donc juste à renforcer leurs solutions de sécurité pour garantir le succès de leurs projets DevOps ? Après tout, moins de la moitié des responsables informatiques (49 %) estime avoir déjà tous les outils dont ils ont besoin à leur disposition. Mais c’est loin d’être aussi simple. Comme évoqué précédemment, le problème vient en partie d’une mauvaise perception de la sécurité informatique, parfois directement entretenue par les équipes sécurité elles-mêmes : certains (40 %) estiment que la sécurité ne tient pas suffisamment compte des exigences d’agilité en termes d’innovation, et d’autres (39 %) qu’elle ralentit le déploiement des initiatives DevOps.

Néanmoins, le problème va au-delà du service de sécurité informatique. Même si nombreux sont ceux (72 %) admettant qu’une exigence de sécurité minimale en termes de DevOps engendre des risques, une part importante (un tiers) déclare encore ne pas consulter systématiquement l’équipe sécurité. Elément surprenant : 42 % estiment que leur service de sécurité informatique dispose de toutes les compétences nécessaires pour sécuriser les projets DevOps, bien que la complexité accrue en matière de sécurité et d’infrastructures soit citée comme le principal obstacle au bon déroulement de ces projets.

De sérieux problèmes de communication et de leadership ont par ailleurs été mis en évidence au sein de nombreuses entreprises déployant des initiatives DevOps. Le leadership est parfois considéré comme un obstacle majeur, du fait de difficultés à obtenir l’adhésion des cadres dirigeants.

Vers le « Secure by Design »

Sans surprise, l’étude révèle que seulement 38 % des entreprises mondiales sondées disposent d’une stratégie DevOps totalement en place. Cela peut être révélateur d’une culture de « l’innovation à toute vitesse » qui prévaut encore dans de trop nombreuses entreprises.

La précipitation doit laisser place à une approche « Secure by Design » : la prise de conscience, à tous les niveaux de l’entreprise, que la sécurité doit être intégrée à chaque élément de sa structure, et ce dès la phase de conception. De fait, les entreprises ne peuvent plus se contenter de manifester un simple intérêt pour la sécurité : elles doivent prendre acte de son rôle central, aussi bien en termes d’atténuation des risques que de croissance.

Bien sûr, instaurer un changement de culture n’est jamais simple. Obtenir l’adhésion des cadres dirigeants serait un bon début, pour garantir leur implication dans les projets DevOps, et aussi pour faire dialoguer les équipes en charge de leur développement, de l’opérationnel et de la cyber-sécurité. Chaque équipe devrait avoir conscience des difficultés auxquelles les autres sont confrontées au quotidien, en leur fixant par exemple des objectifs communs.

Une telle approche doit naturellement s’appuyer sur les outils et technologies appropriés. L’automatisation des processus métiers contribue à réduire l’erreur humaine, tandis qu’un système de sécurité flexible, contextuel et basé sur une solution logicielle doit être favorisé. Une fois que les fonctionnalités de sécurité sont disponibles en tant que services via des API, il est plus facile de les intégrer automatiquement aux flux de travail DevOps. Cela ouvre la voie à des fonctionnalités critiques comme l’analyse continue des images du conteneur pour détecter les bugs et les malwares, tout en assurant la protection au niveau du runtime. Durant les phases initiales d’un projet, à minima, il peut être judicieux de privilégier la visibilité et le suivi, plutôt que le blocage et l’application des règles, pour que la sécurité ne soit pas perçue comme un frein à l’innovation.

Il faudra un certain temps pour que le Secure by Design soit appliqué en entreprise et que l’allocation d’un budget à une équipe DevSecOps lui soit dédié. Dans une approche DevOps, la sécurité intégrée dès la conception est une condition indispensable à la réussite des projets. Après tout, les solutions ne sont pas là pour ralentir les développeurs, mais pour les aider à finaliser leurs projets plus rapidement et en toute sécurité.


Auteur
En savoir plus 
Directeur Technique Europe du Sud
Trend Micro
Renaud Bidou est Directeur Technique Europe du Sud chez Trend Micro. il travaille en étroite collaboration avec les équipes de R&D et avec le  laboratoire de recherche de Trend Micro.
En savoir plus 

Livres blancs A la Une