Bjoern Zinssmeister est le fondateur et PDG de Templarbit, une société de veille stratégique qui aide les entreprises à adopter une approche de sécurité des applications basée sur les données. Il partage son expérience et ses réflexions sur l'avenir de DevSecOps dans ce blog.

En 2002, alors que j'étais programmeur junior dans une entreprise allemande de logiciels, j'ai eu la chance de faire partie d'une petite équipe qui développait ce qu'on appellerait aujourd'hui une application SaaS. Jusqu'alors, l'entreprise réalisait tous ses bénéfices en vendant des logiciels de bureau écrits dans un langage que la plupart des gens n'avaient probablement jamais entendu parler : FoxPro. Mais au lieu de passer mes journées à déboguer du code FoxPro, je me consacrais désormais aux services web Java.

Aujourd'hui, je réalise que l'entreprise était en avance sur son temps, car elle a eu la clairvoyance de comprendre que l'avenir résidait dans les applications web. Mais à l'époque, cette nouvelle façon de concevoir et de distribuer des logiciels était à la fois passionnante et angoissante. Beaucoup de choses restaient à éclaircir, et l'une des préoccupations immédiates était la sécurité. Le web n'était pas considéré comme un endroit extrêmement sûr et, quelques années plus tôt, en 1998, nous avions eu les premières discussions publiques sur une injection SQL sur le web, démontrant la vulnérabilité d'un système web.

C'est pourquoi nous avons fait un effort pour livrer un code sécurisé en établissant un processus d'examen de sécurité à la fin d'une version, un processus très isolé qui révélait parfois des défauts structurels qui retardaient le développement de plusieurs semaines ou mois, entraînant ainsi une frustration considérable.

Je suis heureux que les choses aient évolué depuis. Aujourd'hui, l'une des tendances les plus prometteuses que j'ai observées est le DevOps, et sa nouvelle itération, « DevSecOps », consiste à intégrer la sécurité plus tôt dans le cycle de développement des applications. Les équipes de sécurité sont désormais encouragées à dialoguer avec les développeurs plus tôt qu'auparavant, ce qui permet un retour d'information beaucoup plus étroit. L'objectif principal du DevSecOps est de garantir que la sécurité soit intégrée au cycle de développement et non pas simplement ajoutée en fin de cycle.

Avantages de DevSecOps

Grâce à DevSecOps, les équipes de développement et de sécurité peuvent établir une vision et un langage communs pour évaluer les risques. Cette approche permet également à une organisation d'élargir le cercle des participants aux discussions sur la sécurité, plutôt que de confiner les décisions importantes à l'équipe de sécurité.

Voici les trois principaux avantages qui, selon moi, ont le plus fort impact pour les organisations lors de l’adoption d’un processus DevSecOps :

1. La vitesse et l’agilité augmenteront, ce qui conduira à des clients plus satisfaits.
   Les logiciels ont des utilisateurs finaux, et ces derniers recherchent une expérience optimale, de nouvelles fonctionnalités et des intégrations. Ils souhaitent également que les bugs soient corrigés rapidement. Tout cela est désormais possible, tout en développant un produit plus sécurisé. Grâce à la sécurité intégrée à l'équipe Agile, les entreprises peuvent désormais détecter rapidement les vulnérabilités potentielles et éviter aux développeurs de s'engager sur une voie fragile.
2. La sécurité devient un sport d’équipe.
   L'intégration de la sécurité au processus de développement logiciel favorise une culture où chacun commence à évaluer le rapport risque/valeur ; autrement dit, la sécurité devient une responsabilité partagée. Les ingénieurs prennent l'habitude d'analyser une nouvelle fonctionnalité sous l'angle de la sécurité dès la phase de planification. Les chefs de produit encouragent et intègrent souvent une discussion sur l'impact potentiel d'une modification de l'application sur la sécurité. En intégrant la sécurité dès le début, les entreprises sont plus à même de proposer des logiciels plus sécurisés par défaut.
3. Vous rechercherez activement l’automatisation.
   Une part importante du DevSecOps consiste à exploiter l'automatisation de la sécurité pour accélérer et assurer une couverture continue. La chaîne d'outils DevOps offre la passerelle idéale vers une configuration de sécurité plus automatisée. Lorsque la sécurité est considérée comme un sous-produit naturel du workflow de développement, il est naturel de vouloir la configurer pour que chaque commit soit analysé à la recherche de vulnérabilités potentielles, et que des audits automatisés des bibliothèques tierces soient effectués. Magnifique !

DevSecOps présente de nombreux autres avantages, mais l'amélioration d'une expérience client positive, la promotion d'une culture axée sur la sécurité en interne et la promotion active de l'automatisation des tâches de sécurité sont quelques-uns des concepts les plus impactants que DevSecOps peut débloquer pour une entreprise.

Technologie de sécurité pour DevOps

Le rapprochement de la sécurité et du flux DevOps peut prendre plusieurs formes, mais il commence souvent par l'introduction de nouvelles technologies. Ces technologies constituent le lien entre les personnes et les processus, et facilitent également les revues de sécurité manuelles tout en apportant visibilité et indicateurs de performance à l'équipe. Je recommande souvent aux entreprises de commencer à considérer les technologies suivantes comme base de leur DevSecOps :

• Tests de sécurité des applications statiques automatisés (SAST)
• Surveillance des dépendances open source
• Sécurité des applications d'exécution
• Alertes en temps réel pour les événements de sécurité de haute gravité

Grâce à ces quatre piliers, vous pouvez établir les bases d'un DevSecOps prenant en compte l'ensemble du cycle de vie d'une application. Lancer une analyse statique de sécurité des applications lors de la validation d'un nouveau code est une étape importante pour détecter rapidement les problèmes courants. Étendre cette analyse à la recherche de vulnérabilités connues dans les dépendances open source est la prochaine étape logique.

Une fois la version promue en production, assurez-vous de disposer de capacités de surveillance et de blocage actives, ainsi que de rapports suffisants. Idéalement, cette surveillance d'exécution sera reliée à vos alertes en temps réel pour informer les personnes habilitées à réagir. Après tout, il est essentiel que la bonne personne soit immédiatement informée d'un problème de sécurité majeur, car cela met l'accent sur vos clients.

Quelle est la prochaine étape ?

L’avenir de DevSecOps est prometteur et la mise en place d’une sécurité proactive qui se concentre sur l’expérience client et anticipe les violations de données plutôt que de réagir à une violation est un changement dans lequel de nombreuses entreprises investissent.

Les avantages de DevSecOps pour ces entreprises sont nombreux : réduction des coûts, rapidité de livraison, mise en conformité à grande échelle et capacité à promouvoir une approche sécuritaire. L'élimination des barrières entre développement, sécurité et opérations est une évolution constante, et de nouveaux outils permettant d'y parvenir plus efficacement continuent d'émerger.

Au fil du temps, nous assisterons probablement à une intégration et une orchestration plus étroites entre les différents outils de sécurité intégrés à la chaîne DevOps. Les fournisseurs de sécurité d'exécution adoptent des intégrations avec Slack, PagerDuty et d'autres outils de notification en temps réel. Je suis convaincu que ces intégrations s'approfondiront et permettront de fournir plus rapidement des informations plus pertinentes aux personnes concernées.

Découvrez le PagerDuty – Intégration de Templarbit ici.