DevSecOps ou Comment Concilier Agilité, Innovation et Sécurité ?

Pour éviter de retarder la livraison de vos projets IT, la sécurité doit être prise en compte dès la conception.

Sécurité et agilité ne sont pas incompatibles. Les entreprises commettent bien souvent l’erreur de sacrifier les mesures d’intégrité des systèmes d’information (SI), sous prétexte qu’elles freineraient les innovations.
Elles partent du principe que la mise en place de contrôle de sécurité va les ralentir dans leurs projets. Elles imaginent devoir investir des moyens conséquents sur des fonctionnalités de sécurité qui retarderaient leurs livraisons, alors que les marchés leur réclament toujours plus d’agilité et de rapidité.
Pourtant, si un projet n’est pas correctement sécurisé, il ira droit à l’échec, parce qu’il coûtera cher à corriger a posteriori et qu’il impactera l’image de marque de la société.
Pour concilier agilité et sécurité, la solution est en réalité de penser et d’implémenter la sécurité dès le début d’un projet, et non lorsqu’il est terminé.

Débuter un projet en anticipant les failles de ses futurs applications et systèmes informatiques rompt avec les habitudes.
En effet, les projets de développement sont généralement menés par des équipes successives. Elles ne prennent pas forcément en compte la sécurité durant le cycle de développement du projet, et finissent par traiter les vulnérabilités en dernier lieu. C'est d’autant plus vrai qu’aujourd’hui que de nombreuses entreprises se tournent vers le DevOps pour s’adapter aux demandes d’un marché de plus en plus exigeant, en faisant preuve de rapidité et d’agilité.
Mais il est tout à fait possible d’associer la sécurité à ce mouvement : on parle alors de DevSecOps. Ce dernier a l’avantage d’intégrer la sécurité dès le début du projet et ainsi de promouvoir l’approche de Security by Design.

Le modèle DevSecOps pour intégrer la sécurité dès la conception

Le modèle DevSecOps en trois points :

  • Instaurer une culture sécurité auprès de tous les collaborateurs, en les formant aux techniques nécessaires et en les incitant à faire régulièrement de la veille technologique.
    Tout le monde peut se sentir acteur de la sécurité. Mais pour cela il faut donner à ses collaborateurs le moyen d’y arriver. Cela peut se traduire par l’organisation de courtes sessions de sensibilisation autour de sujets sécurité liés à l’actualité, et pourquoi pas autour d’un petit déjeuner ? Mais aussi en permettant à ses collaborateurs de monter en compétences à l’aide de formations, éventuellement à distance grâce aux solutions d’e-learning. On peut aussi imaginer désigner un référent sécurité dans chaque équipe participant au projet.
  • Mettre en place des processus et des procédures liés à la sécurité alignés avec les méthodes de production agile.
    L'intégration de la sécurité dans un cycle de développement agile doit commencer le plus tôt possible, soit, dans la plupart des cas, dès la phase de définition des exigences. Cette approche, appelée « Shift Security Left », permet aux organisations de disposer d'un flux de travail entièrement sécurisé à chaque étape du cycle de développement du projet.
    Pour y parvenir, il faut veiller à intégrer la sécurité dans les processus opérationnels et de développement, en mettant en place des dispositifs capables de détecter et d’alerter sur les problèmes de sécurité, mais aussi pour réagir en cas d’incident.
    La mise en place de ces mécanismes permet d’identifier et de traiter plus tôt les problèmes de sécurité. Ils ne doivent pas être vus comme un frein à l’innovation puisqu’ils suppriment les goulots d’étranglement et permettent de livrer plus rapidement des produits sécurisés.
  • Utiliser des outils dédiés et favoriser l’automatisation.
    Les outils d’automatisation, par exemple, évitent les erreurs humaines dans les déploiements, car une manipulation involontaire ou des administrateurs qui ne s’appuient pas sur les mêmes standards peuvent engendrer des problèmes de sécurité. Parmi les autres outils dédiés, citons ceux qui reposent sur la découverte de vulnérabilités, comme les solutions de revue de code ou de scanners, et qui peuvent se greffer aux dispositifs existants.
    L’association de ces solutions à un outil de suivi des bugs permet d’inscrire automatiquement les remédiations à effectuer dans la liste des corrections que les développeurs doivent accomplir.
    Ces outils vont finalement contribuer à améliorer la rapidité d’exécution des tests de sécurité et leur suivi. Ils aident aussi à renforcer la robustesse et la fiabilité de la solution produite. Il est donc important de s’appuyer sur des technologies performantes, voir innovantes. Cela ne peut se faire qu’en se tenant informés sur les avancées technologiques dans le domaine.

Faire appel à d’autres concepts, à une Red Team, ou encore aux chercheurs

Le modèle DevSecOps peut se conjuguer avec d’autres pratiques qui visent également à renforcer la sécurité sans nuire à l’agilité. Ainsi, la discipline dite de la défense en profondeur consiste à segmenter son application et son environnement en plusieurs couches, chacune dotée de contrôles de sécurité autonomes. Ainsi si une couche est compromise, cela permet de limiter la propagation de cette menace au sein de l’environnement.

Le Red Teaming (littéralement, constituer une équipe de « rouges ») consiste à confier à des collaborateurs la tâche de simuler des attaques sur les projets en cours afin de mettre en évidence ses faiblesses et ses vulnérabilités. L’enjeu des Red Teams est donc de mettre en avant les problèmes de sécurité mais surtout de proposer des solutions de corrections aux équipes. Ainsi, la démarche proactive prend le pas sur la démarche curative.

Enfin, une approche que Claranet considère innovante est celle du bug bounty. Contrairement aux prestations classiques de tests d’intrusion où une équipe de consultants est chargée de découvrir le maximum de vulnérabilités sur un temps imparti, il est question ici de faire appel à une communauté de chercheurs qui sera uniquement rémunérée pour chaque vulnérabilité remontée. À la clé, des économies substantielles sur les budgets de ses projets mais aussi une prestation qui ne sera pas limitée par le temps.

Deux règles conditionnent toutes ces bonnes pratiques :

  • La première est de procéder par étape. Il est préférable d’introduire progressivement des petites mesures qui évolueront au cours du cycle de vie du projet, plutôt que de chercher à basculer soudainement en mode DevSecOps
  • La seconde est que tous les collaborateurs soient impliqués, pour éviter des déséquilibres dans la sécurité, ce qui implique le soutien de la hiérarchie.

Avis d'expert : Margot Priem, consultante Sécurité

Mettre en conformité et sécuriser vos applications critiques

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
En cochant cette case, vous vous abonnez à la newsletter Claranet. Vous pouvez vous désinscrire à tout moment via le lien de désinscription en bas de la newsletter. Choisir vos préférences de communication.
Les informations à caractère personnel recueillies à partir de ce formulaire feront l’objet d’un traitement par le Groupe Claranet France (Claranet, Claranet Business Apps, Oxalide). En fonction de votre demande, le traitement peut être relatif à la gestion des clients, des prospects, des recrutements, etc. Pour plus d’informations sur les traitements mis en œuvre par Claranet et la façon dont vous pouvez exercer vos droits, consultez notre Privacy Policy.
1 + 3 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support