Qu’est-ce que le DevSecOps et à quoi sert-il ?

Dans le domaine du développement agile de logiciel, la sécurité des produits joue un rôle de plus en plus important. À l’ère de la livraison et de l’intégration continues, le processus de développement est un défi à ne surtout pas sous-estimer. C’est pourquoi les entreprises vont de plus en plus souvent au-delà de l’approche DevOps qui lie étroitement le développement (Development) et l’exploitation (Operations) dès le début du processus pour y inclure la composante sécurité (Security), d’où l’abréviation DevSecOps. La démarche DevSecOps est une solution aux problèmes rencontrés au quotidien par les éditeurs de logiciels. Et cette solution tient compte à la fois des exigences en termes de vitesse de développement et de sécurité.

L’approche DevSecOps offre une agilité et une réactivité bien plus élevées que dans le cadre de l’approche DevOps, car les questions de sécurité sont déjà prises en compte lors du développement. Ainsi, le système se distingue des approches traditionnelles dans lesquelles les équipes de sécurité ne se préoccupent de la sécurité du produit qu’une fois celui-ci déjà développé.

L’approche DevSecOps, permet d’assurer les hauts standards de qualité même pour les méthodes de développement agiles et rapides de livraison continue et d’intégration continue. Dans ces cas, les exigences de sécurité, souvent très élevées, doivent être prises en compte lors de la programmation de l’exploitation courante. Dans ce contexte, une bonne communication entre les domaines de la sécurité, du développement et de l’exploitation informatique est d’une importance capitale. Une approche interdisciplinaire est donc décisive au succès de la totalité du processus de développement.

Depuis quelques années, les questions de sécurité gagnent de l’importance dans le développement de logiciels. Compte tenu notamment du fait qu’avec le développement rapide, qui va de pair avec des délais de plus en plus courts entre les différentes versions, le respect des normes de sécurité est de plus en plus difficile. Pour de nombreuses entreprises, c’est même un obstacle insurmontable lorsque les questions de sécurité sont prises en compte uniquement à la fin du développement. Bien souvent, les entreprises doivent faire un choix entre un haut niveau de sécurité et les délais que cela occasionne, ou une sécurité moindre et des cycles de développement plus courts. De nombreux distributeurs optent pour la seconde option. Dans ce contexte, DevSecOps est une solution idéale qui allie haute sécurité et cycles de développement courts.

Les solutions antérieures pour l’implémentation des mesures de sécurité et des protocoles de sécurité indispensables ne font pas le poids par rapport aux nouvelles variantes agiles du développement de logiciel. Grâce à une intégration active des questions de sécurité dans la phase de développement du logiciel et leur assimilation dans le processus de développement, le niveau de sécurité souhaité peut être assuré même dans des cycles de développement et de produit courts. Cependant, toutes les entreprises sont loin de suivre cette approche. Il est aisé de le constater, car la sécurité de certains produits a considérablement diminué avec le raccourcissement des cycles de version et les diverses failles de sécurité sont généralement corrigées à la va-vite grâce à des « Day One Patches ».

Pour atteindre leurs objectifs et conserver un haut niveau de sécurité, les développeurs ont alors le choix entre un cycle de développement long et l’approche DevSecOps.

Voici un exemple pratique tiré de la vie quotidienne d’un utilisateur privé pour illustrer le fonctionnement de cette approche. L’application de notre exemple est une application de comptabilité qui peut être gérée directement sur smartphone. L’application permet de saisir, de catégoriser, de différencier par code couleur et d’évaluer les dépenses et les recettes. Cette utilisation ne nécessite que peu de données sensibles et les exigences de sécurité sont donc relativement basses.

Par la suite, l’application s’enrichit d’une nouvelle fonctionnalité qui permet de scanner les tickets de caisse et de les enregistrer automatiquement. Dans ce contexte, de nombreuses données sont saisies et évaluées sur les serveurs, la sécurité des communications et du traitement des données joue alors un rôle considérable. Si les questions de sécurité sont prises en compte a posteriori, il faudra six mois pour que la fonction puisse être publiée en toute sécurité.

Une nouvelle fonction doit ensuite être ajoutée. Cette fonction consiste à intégrer directement les dépenses dans l’application via les banques en ligne. Ce qui nécessite le traitement de données très sensibles et l’intégration d’une telle solution dotée des standards de sécurité les plus élevés pourrait prendre une année. Avec de tels délais, la concurrence aura déjà pris une bonne longueur d’avance et le produit sera probablement obsolète avant même d’arriver sur le marché.

Cependant, si les questions de sécurité sont prises en compte dès la phase de programmation et de développement grâce à l’approche DevSecOps, le délai avant la publication peut être considérablement réduit, sans aucune concession sur la sécurité. Souvent, cela permet même d’améliorer la sécurité, car elle peut être intégrée directement dans la programmation et non pas ajoutée après comme une rustine sur un programme déjà existant. Les entreprises bénéficient d’un cycle de version plus court et les utilisateurs de la mise à jour constante du logiciel.

Les avantages de l’approche DevSecOps sont évidents. Lorsqu’en raison d’une demande croissante et des exigences élevées, une entreprise décide de développer ses produits en ayant recours à un système DevOps moderne, elle obtient souvent une efficacité inattendue dans la production et la publication de différentes versions de son logiciel. Toutefois, ce processus laisse la sécurité de côté. Si celle-ci est intégrée comme à l’accoutumée dans le produit fini, cela peut non seulement générer des problèmes de fonctionnalité, mais aussi retarder considérablement la livraison.

Si les questions de sécurité avaient été intégrées dès le processus de développement, la situation aurait été bien différente. Le processus n’est que légèrement rallongé, car le domaine de la sécurité bénéficie également des solutions de surveillance et d’automatisation. En outre, les différentes équipes de développement et d’exploitation apprennent à prendre en compte les questions de sécurité dès le stade du développement, de sorte qu’il y ait nettement moins de lacunes en matière de sécurité dès le départ. Cela permet de produire des versions de logiciel plus sûres et plus stables dans un laps de temps plus court qui pourront ensuite être livrées directement aux clients. Ainsi, les entreprises et les clients profitent autant de ces nouvelles possibilités.

Comme pour l’approche DevOps, la réussite du système et son efficacité dans le cadre d’une approche DevSecOps dépendent de la capacité des collaborateurs et des équipes à gérer ce nouveau style de développement. Car sans une culture d’entreprise ouverte et des échanges entre les équipes et les départements, cette approche ne peut pas fonctionner de manière optimale. C’est pourquoi, il est nécessaire de bien communiquer sur les avantages du nouveau système, mais aussi de bien coordonner les changements avec les services et les collaborateurs.

D’importantes complications peuvent émerger si les employés rejettent ce système, en désapprouvant par exemple l’intégration d’experts en sécurité dans le processus de développement.

L’intégration des fonctionnalités de sécurité nécessaires dans le domaine du développement de logiciel et dans l’exploitation informatique directe est d’une importance capitale. L’intégration des mesures de sécurité indispensables à la fin du processus de développement peut engendrer non seulement des délais très longs, mais également des erreurs, car aucun processus de révision complet n’est effectué à ce stade. Lorsque les questions de sécurité sont intégrées au fur et à mesure dans le développement, les mises à jour et les versions du logiciel, grâce à l’approche DevSecOps, la durée d’intégration des mesures de sécurité est sensiblement réduite et la qualité s’améliore aussi considérablement grâce aux contrôles automatisés. Les entreprises sont particulièrement gagnantes lorsqu’elles dépassent l’approche DevOps et intègrent les questions de sécurité des données et logiciels directement dans le processus de développement grâce à l’approche DevSecOps.