AVIS D’EXPERT – Pour lutter efficacement contre les cyberattaques, se tourner vers une approche DevSecOps, où la sécurité est intégrée tout au long du cycle de développement, apparait comme nécessaire. Ce qui implique de nouveaux outils, processus et structures, ainsi qu’une évolution de la culture d’entreprise. Par Eric Salviac, Senior Business Value Consultant chez Cisco AppDynamics.
Ces dernières années, les départements informatiques ont fait face à des changements majeurs, obligeant notamment les responsables IT à fortement accélérer leurs initiatives de transformation numériques. Et le développement des applications a pris la même trajectoire afin de répondre en urgence à l’évolution des besoins utilisateurs.
Ce qui n’a pas changé cependant, c’est que les équipes développement et sécurité opèrent fréquemment en silos, et souvent même avec défiance les unes envers les autres. Une récente étude de Cisco AppDynamics relève que la collaboration entre les équipes opérations et les équipes de sécurité se fait de manière continue dans seulement 41 % des cas (chiffre France).
Malheureusement, avec l’émergence de nouvelles menaces de sécurité toujours plus sophistiquées et variées, cette approche cloisonnée révèle de nombreuses lacunes. Les applications et architectures cloud natives entraînent une augmentation du champs des attaques. De fait, les responsables IT doivent agir rapidement afin de renforcer la sécurité de leurs applications et parer aux failles de sécurité qui pourraient avoir des conséquences catastrophiques.
Pour lutter efficacement contre les cyberattaques, se tourner vers une approche DevSecOps, où la sécurité est intégrée tout au long du cycle de développement, apparait comme nécessaire. Ce qui implique de nouveaux outils, processus et structures, ainsi qu’une évolution de la culture d’entreprise. Les responsables IT doivent amener toute l’entreprise sur la voie du DevSecOps et démontrer que la sécurité ne se fera pas au détriment des capacités d’innovation.
Travailler en silo augmente le risque de vulnérabilité
De manière significative, l’étude révèle que la majorité des responsables IT perçoit la sécurité comme un frein à l’innovation. En effet, elle est considérée comme une fonction réactive, chargée de résoudre les failles de sécurité et de remédier aux vulnérabilités.
En travaillant de manière cloisonnée, les équipes opérations font souvent le choix de ne pas se tourner vers les équipés sécurité, par crainte de freiner le développement. Et de ne collaborer que lorsqu’un problème potentiel est identifié, ce qui est souvent trop tard pour éviter qu’il n’impacte les utilisateurs finaux.
Cette approche en silo devient aujourd’hui problématique et peut entraîner de graves conséquences. Alors que les entreprises sont passées à des stack applicatifs modernes, construisant des applications plus dynamiques grâce aux plateformes low-code ou no-code, elles ont constaté une augmentation soudaine du champ possible des failles de sécurité. La généralisation des environnements multi-clouds sous-tend que les composants applicatifs s’exécutent désormais sur un mix de plateformes et de bases de données on-premises, ce qui crée des angles morts dans la visibilité des applications et augmente le risque d’une attaque.
Ainsi, 78 % des responsables IT français soulignent le fait que l’absence d’une vision commune entre les équipes développement sécurité sera un véritable défi pour la sécurité des applications au cours des 12 prochains mois.
L’approche DevSecOps pour apaiser les tensions au sein du département IT et renforcer la sécurité des applications
Face à ce défi, les responsables IT reconnaissent qu’il est urgent de collaborer plus étroitement entre les équipes développement et sécurité et de passer à une approche plus proactive de la sécurité des applications.
DevSecOps réunit les équipes ITOps et SecOps afin que la sécurité et les tests de conformité soient intégrés à chaque étape du cycle de vie d’une application, depuis sa planification jusqu’à sa mise sur le marché. Avec cette méthode, les développeurs peuvent intégrer la sécurité à chaque ligne de code, ce qui crée des applications plus sûres et facilite la gestion de la sécurité, avant, pendant et après le déploiement.
Les départements IT peuvent ainsi éviter de ne traiter les failles qu’à la dernière minute avant le lancement, comme c’est le cas aujourd’hui. Ou, à contrario, éviter de ne les découvrir qu’après que l’application ait été déployée. En intégrant des tests de sécurité dès le début du processus de développement, les équipes de sécurité peuvent analyser et évaluer les risques afin de poser les bases d’un développement sans heurt.
Fait encourageant, la plupart des responsables IT se disent prêts à adopter une approche DevSecOps. Ils reconnaissent qu’elle est désormais essentielle pour se protéger efficacement contre une attaque en plusieurs étapes sur l’ensemble du stack.
D’autant plus que, sur un plan plus personnel, les responsables IT sont désireux de travailler de manière plus étroite avec des responsables d’autres disciplines. Ils considèrent à juste titre le DevSecOps comme une bonne occasion pour acquérir de nouvelles compétences et pour élargir leurs connaissances afin de devenir des professionnels plus complets. En fin de compte, ils sont fatigués des silos et de la méfiance qui règneau sein du département, 37% (France) d’entre eux déclarent que les tensions entre équipes pourraient les inciter à changer d’emploi.
En fin de compte, les responsables IT doivent montrer la voie pour que, grâce au DevSecOps, la sécurité soit vue comme un accélérateur d’innovation, plutôt qu’un frein. Et comment cela peut contribuer à réduire la pression exercée sur les départements informatiques qui luttent constamment pour réparer les failles, à la suite de nouvelles menaces de sécurité.
Le passage au DevSecOps nécessite donc de nouvelles pratiques et un changement de comportement au sein du département IT, et les responsables doivent s’assurer que chacun dispose des bons outils, des bonnes connaissances et des bonnes compétences pour effectuer cette transition.
Eric Salviac, Senior Business Value Consultant chez Cisco AppDynamics.
