DevOps est une méthode qui a fait ses preuves pour accélérer le rythme et la qualité des livraisons dans le monde du développement d’applications. Cependant le volet sécurité n’est nativement pas inclus dans la démarche. Aujourd’hui, les enjeux autour de la sécurité sont grandissants. La chaine DevOps peut être optimisée pour prendre en compte cet aspect devenu critique.
Définition
L’idée de DevSecOps est de proposer une réponse à l’augmentation constante des menaces de sécurité sur le logiciel (Phishing, Ransomware, Attaques DDOS, etc.), en plaçant la sécurité au cœur des process DevOps. Maintenant que les équipe Dev et Ops ont appris à travailler ensemble grâce à DevOps, elles peuvent maintenant s’ajouter la charge de la sécurité! DevSecOps et alors l’intégration de la sécurité dans le cycle de vie du développement logiciel, devenant une responsabilité partagée par les équipes.
DevSecOps se concrétise de différentes façons. Avant toute chose, les équipes doivent être formées aux enjeux de la sécurité et aux vulnérabilités logicielles. Ensuite, un processus de veille peut être mis en place. L’activité principale du DevSecOps, c’est l’intégration des process de détection des vulnérabilités dans les automatismes du cycle DevOps, ainsi que dans les bonnes pratiques pour les phases plus « manuelles ».
L’application concrète de DevSecOps dans le cycle de développement
La prise en compte de la sécurité démarre dès la phase de planification où les exigences de sécurité sont définies. Les équipes de développement sont sensibilisées, et certains développements sont consacrés à la sécurisation elle même de l’application, quand l’ensemble du code doit éviter les vulnérabilités. La phase de code inclue alors ces bonnes pratiques de développement pour la création le plus en amont possible d’un code sûr. A ce niveau, les équipes elles mêmes vérifient leur travail par rapport aux enjeux de la sécurité. Ensuite, la phase CI/CD automatisée passe le code au « scan » pour détecter les vulnérabilités avant le déploiement en production. Les menaces sachant s’adapter plus vite que les remèdes, même si le code est sûr au moment de son déploiement, la phases d’exploitation se doit de maintenir une surveillance des vulnérabilités via des mécanismes de scan sur l’application en fonctionnement dynamique. Enfin, les failles étant souvent inévitables, il convient d’être en capacité de réagir le plus rapidement possible pour passer la correction dans le prochain cycle de développement, via les outils ITSM notamment.
L’intérêt de DevSecOps est de planifier et d’intégrer la détection et le traitement des vulnérabilités dans chaque cycle pour éviter de subir l’urgence de résolution de la détection d’une faille. D’une part, les failles deviennent moins nombreuses du fait d’une démarche qualité/sécurité qui permet de les anticiper, et d’autre part le process de détection et de résolution est déjà en place pour combler ces failles. La gestion de la sécurité devient plus sereine, et là encore, la collaboration entre les équipes Dev et Ops est primordiale.
Les grandes étapes de la mise en place d’une démarche DevSecOps sont les suivantes :
- Automatisation des scans de sécurité pour couvrir les différentes surfaces d’attaques
- Planification de la gestion des vulnérabilités
- Intégration de la sécurité à la chaine DevOps
Optimiser DevSecOps
But ultime de DevSecOps : la proactivité. Des équipes peuvent être directement allouées à la sécurité pour trouver les failles avant leur détection par l’extérieur. Des « pirates » internes qui travaillent à la détection de failles avant tout le monde pour qu’elles soient résolues avant leur découverte réelle. Et sur la proactivité, l’intelligence artificielle a un grand rôle à jouer. Si elle ne peut pas remplacer un « hacker » talentueux, elle saura exploiter les données auxquelles elle a accès pour anticiper certaines mauvaises pratiques et des types de codes qui ont généré des failles par le passé.
SPECTRUM BENCHMARK
Retrouvez très prochainement notre nouvelle étude sur DevOps, ses définitions, sa culture, et le marché des solutions qui outillent la chaine : Atlassian, Azure DevOps, GitHub, GitLab.
