Si le DevOps combine développement et opérations informatiques, le DevSecOps introduit une relation triangulaire où la sécurité joue également un rôle important. Une bonne idée en soi, mais rien qui mérite un tel battage médiatique. Le terme « DevSecOps » sonne comme un nouvel objectif à atteindre : l’illustre successeur de DevOps. Mais, si prendre au sérieux la sécurité constitue un nouvel objectif à la mode, de quoi s’occupent alors les équipes DevOps ?

1. Briser les silos

Avec le recul, cela semble logique : mettre en relation les développeurs qui conçoivent une application avec les informaticiens qui assurent la maintenance de l’app en production. Le DevOps a malgré tout constitué (et constitue encore) une manière de travailler révolutionnaire. Les entreprises en général, et les sociétés informatiques en particulier, ont toujours eu l’habitude de travailler en silos. Un service développe, l’autre déploie et gère. Ça a l’air simple, mais c’est en fait la recette idéale pour générer des malentendus et une certaine inefficacité dans la pratique. Regrouper ces deux rôles dans le DevOps était une idée formidable.

Que faut-il alors penser du DevSecOps ? Dans la pratique, la sécurité informatique constitue encore souvent aussi un silo distinct. L’équipe DevOps développe, la sécurité informatique veille à ce que des hackers ne profitent pas d’une porte dérobée dans la nouvelle app pour s’emparer des données des clients de toute l’entreprise. Mais comment ? Nous savons tous que la sécurisation périmétrique mérite désormais sa propre salle au Musée de l’Informatique. L’ensemble de l’infrastructure IT d’une entreprise doit être truffé d’éléments de sécurité.

2. Sécurité intégrée

En d’autres termes : quand vous développez une application avec un portail de connexion, vous veillez tout de même à ce que le portail en question ne ressemble pas à un gruyère ! Les développeurs se concentrent bien souvent sur la transposition rapide et efficace de la logique business en une application fonctionnelle. Dans la pratique, la sécurité ne constitue rarement plus qu’un sujet de réflexion annexe, en aucun cas une priorité.

C’est un problème pour DevOps. Vous ne pouvez pas faire de l’intégration et de la livraison en continu sans les contrôles de sécurité nécessaires. Si ceux-ci ne se retrouvent pas dans le workflow de DevOps, alors l’équipe DevOps pourrait perdre tout son élan. L’idée de départ consistait à supprimer ces satanés silos. Si la sécurité reste un silo, alors le DevOps n’a pas atteint son objectif.

3. Un pléonasme en soi

Une voiture dispose d’airbags, de ceintures de sécurité et de l’ABS. Nous appelons tout simplement « voiture » et non pas « voiture sûre » une voiture munie de ces fonctionnalités. Il doit en être de même avec le DevOps. La sécurité doit faire partie intégrante du flux d’activités de DevOps, de sorte que le terme DevSecOps devienne un pléonasme.

Vous pouvez concrètement apporter votre pierre à l’édifice. En tant que développeur, il est utile de suivre de près les nouvelles tendances en matière de sécurité, mais il est encore plus important d’adopter le bon état d’esprit. La sécurité doit occuper une place prioritaire dans le pipeline CI/CD. Développez en gardant toujours la sécurité à l’esprit. Pour ce faire, tenez compte des besoins évolutifs en termes de sécurité et de l’adaptabilité, afin que vous puissiez facilement renouveler des éléments clés de sécurité si nécessaire. Ne testez pas uniquement la fonctionnalité et la stabilité, mais aussi d’emblée la sécurité, accordez-lui le même degré de priorité. Déployez ensuite une application aussi sûre qu’utile.

N’oubliez pas qu’il existe aujourd’hui des outils qui peuvent vous aider à garder tous les éléments à l’œil. Après le déploiement du nouveau code, vous pouvez contrôler à l’aide de scans automatiques s’il n’y a pas de nouvelles vulnérabilités connues dans l’application, afin que vous puissiez immédiatement les corriger. Pour les conteneurs, l’outil open source Clair en est un bel exemple.

Vous pouvez donc tranquillement dédaigner cette tendance du terme DevSecOps. Non qu’il s’agisse d’une mauvaise idée en soi, mais parce que, dans un contexte de DevOps, un bon développeur s’attelle déjà depuis bien longtemps aussi à la sécurité.