L'âge d'or des meilleures pratiques des logiciels DevOps s'est installé sur nous comme une couverture douillette de cohérence. Dans cette utopie de gestion du changement parfaite et de normes industrielles bien huilées, une progression naturelle vers une cybersécurité infaillible appelée DevSecOps a émergé.

Bien sûr, quand je dis « âge d'or », je veux vraiment dire « Far West ». Et par « couverture douillette de cohérence », je veux vraiment dire « feuille de papier froide d'incertitude ». Dans l'industrie technologique, la mise en œuvre de DevOps signifie différentes choses pour différentes entreprises — même au sein de certaines entreprises, cela signifie différentes choses pour différentes équipes.

Démêler DevSecOps

Depuis que le terme a été inventé il y a une décennie, la signification de DevOps est restée floue, et le paysage actuel représente un mélange hétéroclite de flux de travail DevOps. Des incontournables comme les outils CI/CD ont été largement adoptés, tandis que des produits comme les logiciels de gestion de flux de valeur sont dispersés dans quelques entreprises sélectionnées.

Dans le monde de la technologie, cela signifie que c'est le moment idéal pour provoquer une perturbation — et DevSecOps est exactement ce qu'il faut.

Qu'est-ce que DevSecOps ?

DevSecOps, qui signifie Development Security Operations, présente un appel à l'action nécessaire emballé comme un mot à la mode insupportable. Le message sous-jacent est urgent et poignant : la cybersécurité, elle aussi, doit être un défaut dans le flux de travail DevOps (développement et opérations informatiques). Étant donné la nature des environnements de logiciels de livraison continue, il est devenu de plus en plus difficile pour les professionnels de la cybersécurité de nettoyer après les développeurs. DevSecOps vise à créer un code hautement sécurisé par conception, plutôt qu'après coup.

(Quant au terme lui-même, eh bien... il établit un précédent intéressant pour les conventions de dénomination. Il y a beaucoup de principes bénéfiques qui peuvent — et devraient — s'intégrer aux processus DevOps réussis, mais ne l'appelons pas DevSecPrivMindfulnessAIOps.)

Il reste à voir si le terme DevSecOps s'impose, mais pour l'instant, il fait son travail, envoyant des frissons dans le dos de l'industrie. Peut-être que cela a plus à voir avec la terminologie nauséabonde que ses implications, mais cela sert toujours de signal d'alarme pour les équipes de développement sur le besoin très réel de code sécurisé. Comment les entreprises et les équipes répondent-elles à cet appel ?

Outils DevSecOps

Les équipes DevOps ont besoin de la bonne pile logicielle pour réaliser pleinement DevSecOps, ou la sécurité par conception. De plus, ces outils doivent s'intégrer en douceur aux pipelines préexistants.

Dans un monde idéal, le produit parfait pour le travail automatiserait également l'essentiel de la charge de travail. Les développeurs ne vont pas suivre le rythme d'une cybersécurité forte à moins que la solution ne soit sans tracas. À part quelques séances de formation fermes et un approvisionnement constant d'ibuprofène, quelles sont les options ?

Enfin trouvant un certain ancrage sur le marché après quelques années de stagnation, les outils d'analyse de composition logicielle (SCA) présentent une solution automatisée et transparente pour les développeurs afin de gérer les éléments open-source et tiers de leurs applications. Le processus de développement d'applications a tendance à accumuler rapidement un impressionnant tas de dépendances et de composants tiers. Les outils SCA s'intègrent aux flux de travail DevOps préexistants pour scanner constamment ces composants à la recherche de vulnérabilités et de mises à jour, garantissant une sécurité complète au milieu du spaghetti des appels API. Ces produits vont ensuite un pas plus loin et suggèrent même des remédiations de vulnérabilités lors de leur détection, les rendant indispensables à tout espace DevSecOps émergent.
D'autres outils hérités qui peuvent être utilisés et combinés pour créer un environnement DevSecOps infaillible incluent les logiciels de scanner de vulnérabilités, les logiciels de test de sécurité d'application dynamique (DAST), les logiciels de test de sécurité d'application statique (SAST), ou les logiciels de test de pénétration... regardez, il y a de nombreuses solutions à choisir. Toutes apportent une valeur unique à un flux de travail DevSecOps.

La méthodologie DevSecOps est loin d'être standardisée

L'abondance de différentes solutions qui abordent DevSecOps, si nous l'appelons vraiment ainsi, semble formidable. Cependant, l'industrie n'a pas convenu d'un mélange standard d'outils pour un environnement de travail DevSecOps de « meilleures pratiques ». En conséquence, nous nous retrouvons avec une philosophie de travail hésitante, plutôt qu'un ensemble de procédures spécifiées à mettre en œuvre réellement. Cela vous semble familier ?

Si les entreprises veulent éviter de répéter le cirque de mise en œuvre que nous appelons DevOps, elles sont mal parties. Regardez simplement la répartition de l'utilisation dans cette enquête de 57 professionnels de la cybersécurité à travers les industries menée par ZeroNorth.

Ces résultats n'évoquent pas exactement des phrases comme « norme industrielle » ou « tout va bien ». Sur sept outils de scan et de test possibles, un seul voit une utilisation à l'échelle de l'entreprise par plus d'un quart des professionnels interrogés. Ce qui est particulièrement problématique quand on réalise que ce n'est même pas l'ensemble complet des données.

Ce graphique particulier a dû être divisé sur deux pages différentes du rapport de ZeroNorth. Et bien sûr, peut-être qu'ils auraient pu réduire un peu la taille de la police. Mais cela fait toujours un total de 12 types différents d'outils de cybersécurité viables — tous avec une mise en œuvre extrêmement variée à travers l'industrie.

Ce même rapport a révélé que 98 % des professionnels considèrent la cybersécurité dans DevOps comme soit « extrêmement importante » soit « très importante ». Tout le monde s'accorde généralement à dire que les équipes DevOps doivent adopter les meilleures pratiques de cybersécurité, mais chacun a des idées différentes de ce que cela signifie. Ce problème est inhérent aux philosophies vagues comme « DevOps » et « DevSecOps » : chaque équipe va interpréter ces philosophies en fonction de son propre flux de travail et de sa culture internes.

L'avenir de DevSecOps dans les initiatives DevOps et CI/CD

Sur la base du sentiment général de l'industrie pour une meilleure sécurité à l'ère de la transformation numérique, il semble probable que la philosophie DevSecOps est là pour rester. La question est de savoir si cette philosophie conduira à une application standardisée — et combien de temps cela prendra. Si la dernière décennie de DevOps est un indicateur, nous verrons probablement un patchwork de mise en œuvre alimenté par des mots à la mode et des rêves.

Cependant, il est possible que l'expérience à l'échelle de l'industrie avec DevOps ait préparé le terrain pour des efforts de transformation numérique plus efficaces à l'avenir. Maintenant que les entreprises ont pris pied avec le cloud, DevOps et les initiatives CI/CD, un nouvel ajout brillant à l'environnement de travail pourrait s'avérer moins éthéré. Peut-être que l'urgence cruciale pour la sécurité motivera un front uni.

Quelle que soit la forme qu'elle prendra, nous pouvons nous attendre à voir des changements majeurs vers DevSecOps à travers les industries à l'avenir. Il peut y avoir des douleurs de croissance en cours de route, surtout si les développeurs et les partenaires commerciaux considèrent les nouvelles initiatives de sécurité comme des obstacles dans des flux de travail efficaces. Cependant, les entreprises doivent trouver des moyens de faire fonctionner DevOps sécurisé si elles veulent éviter le risque de fiascos de sécurité coûteux.