De l'approche DevOps vers DevSecOps : une réponse au besoin d'agilité et de cyber-sécurité
"Les décideurs IT s’appuient aujourd'hui sur trois leviers pour transformer leur organisation : la modernisation des systèmes existants, la cybersécurité et l’évolution vers des modèles de développement et de livraison agiles", analyse Jean-François Hugon, Head of Marketing chez EBRC. "Dans ce dernier domaine, l'adoption d'une démarche DevOps, issue en droite ligne des méthodes agiles, permet aux équipes informatiques de mettre en place un cycle continu de développement et de mise en production, augmentant ainsi leur réactivité dans la prise en compte des demandes métiers et réduisant du même coup le time-to-market des applications."
Dans un contexte DevOps, les silos traditionnels entre les développeurs, les testeurs, les responsables de la mise en production et les administrateurs systèmes sont démantelés. Durant tout le processus de développement et de déploiement, tous collaborent plus étroitement, leur permettant de mieux comprendre leurs attentes et défis respectifs
L'approche DevOps par InTech et EBRC
"En joignant leurs forces, EBRC et InTech sont en mesure d'assurer un accompagnement de bout-en-bout dans la mise en œuvre de la chaîne de valeur DevOps, de la conception à l'exploitation, en passant par le développement, le test et le déploiement", explique Fabrice Croiseaux (voir photo principale), CEO d'InTech. "EBRC, entreprise spécialisée dans les infrastructures, les opérations IT critiques ainsi que la transformation IT, bénéficie d'une grande expérience dans l'exploitation des systèmes et assure la gestion opérationnelle d'environnements IT pour le compte de nombreux clients", assure-t-il. "Quant à InTech, il s'agit d'un acteur de référence dans les domaines du développement logiciel, des architectures applicatives et de la mise en œuvre de plateformes de développement industrielles."
Développment, opérations et sécurité : les pilliers d'une approche DevSecOps
Pourtant, si une approche DevOps efficace garantit des cycles de développement rapides et fréquents, elle ne prend pas en considération un aspect critique du développement, celui de la sécurité des applications. Or, des pratiques de sécurité inadaptées peuvent réduire à néant les bénéfices des projets DevOps les plus efficaces. C'est dans le cadre de cette problématique qu’est en train d’émerger une évolution des principes DevOps, le DevSecOps, une démarche qui permet non seulement de rapprocher les services informatiques des besoins des métiers, mais aussi de renforcer la sécurité des développements, d'en d'améliorer la qualité et de faire preuve de plus de proactivité en matière de performance, de résilience et de haute disponibilité.
"La transformation globale des services informatiques à laquelle nous assistons introduit un changement dans la manière d'aborder les projets", souligne Jean-François Hugon. "Les entreprises tendent vers plus d'agilité tant pour le business que pour l'IT. Les développeurs sont investis de davantage de responsabilités, notamment vis-à-vis de considérations transverses telles que la qualité et la sécurité. Cette dernière n'est plus rejetée en bout de chaîne, elle est intégrée by design."
Les avantages de l’approche DevSecOps sont nombreux, notamment l'automatisation des tâches répétitives et le contrôle continu de la sécurité, qui permettent aux développeurs de détecter rapidement les vulnérabilités de sécurité et de limiter les risques.
Cette approche collaborative favorise également l'intégration de la sécurité dès le début du cycle de développement, évitant ainsi les problèmes liés à l'ajout tardif de mesures de sécurité.
1er avantage de l'approche DevSecOps : donner la priorité à la sécurité
L'approche DevSecOps repose en effet sur une sécurité intégrée, et non sur un périmètre de sécurité protégeant les applications et les données. Lorsque la sécurité est reléguée à la fin du processus de développement, les entreprises qui adoptent l'approche DevOps peuvent se retrouver confrontées à de longs cycles de développement, ce qu'elles essayaient précisément d'éviter. La démarche DevSecOps implique donc de réfléchir à la sécurité de l'application et de l'infrastructure dès le départ. Elle s’articule autour d'une collaboration étroite entre les équipes de développement et celles dédiées à la cybersécurité dans le but d'assurer la sécurité des produits tout au long de leur cycle de vie. Cette approche donne la priorité à la sécurité en établissant un cadre de référence pour les activités de développement. "Les bonnes pratiques de sécurité en développement sont connues et documentées. A l’instar d’OWASP, par exemple, qui liste les failles majeures de sécurité des applications et donne les clés pour que les développeurs puissent les adresser. Par contre, les contrôles OWASP sont assez peu intégrés automatiquement dans le processus d’industrialisation des développements. C’est justement ce que nous faisons avec EBRC dans la mise en œuvre de DevSecOps" précise Fabrice Croiseaux.
2ème avantage de l'approche DevSecOps : automatisation et contrôle continu
Pour éviter tout ralentissement des flux DevOps et puisque l'exécution de contrôles de sécurité manuels peut être laborieuse et coûteuse en temps, l'automatisation des tâches répétitives est un élément clé de l'approche DevSecOps. L’automatisation s’applique notamment au contrôle des développements : les développeurs peuvent tester en continu leur code pour identifier au plus tôt les éventuelles vulnérabilités et réduire le nombre de correctifs post-déploiement.
Elle touche également le contrôle des systèmes à travers la conteneurisation des solutions qui permet d’isoler les différentes fonctions d’un système, d’automatiser les opérations d’audit de sécurité et de vérifier à chaque instant que les politiques de cybersécurité sont bien mises en application. L'utilisation d’environnements conteneurisés permet en outre de sécuriser l’infrastructure en automatisant la détection des incidents. Ainsi, lorsqu’une tentative d’intrusion ou un flux anormal est détecté, il est possible de désactiver et d’isoler les instances corrompues et de rediriger instantanément le trafic.
3ème avantage de l'approche DevSecOps : ouverture et interopérabilité
"Aujourd'hui, les technologies qui permettent d'atteindre les objectifs d'agilité et de réactivité que vise l'approche DevOps peuvent dans une large mesure être mises en œuvre sur le cloud public", constate Fabrice Croiseaux. "Nos clients peuvent cependant bénéficier d’un niveau de service comparable à travers une plateforme hébergée au Luxembourg, dans le Trusted Cloud Europe et les data centres Tier IV d’EBRC, et rencontrer tant les exigences réglementaires des différents régulateurs que les critères de conformité des normes internationales les plus exigeantes telles que ISO 27001, ISO 20000, ISO 22301, Tier IV et PCI DSS, entre autres."
L'approche DevSecOps par InTech et EBRC
La plateforme cloud EBRC-Kubernetes as a Service comprend toutes les briques nécessaires pour industrialiser le déploiement, la mise à l'échelle et l'orchestration d'architectures de micro-services et d'applications conteneurisées. Avec la solution Red Hat OpenShift - une plateforme orientée sécurité continue commune aux équipes de développement et d'exploitation qui permet de créer, déployer et gérer des applications conteneurisées -, EBRC-KaaS forme le socle de l'offre technologique DevSecOps d'InTech et EBRC. En privilégiant ainsi l'ouverture et l'interopérabilité, les sociétés du groupe POST se différencient des acteurs traditionnels du cloud public et permettent aux entreprises de se prémunir contre le risque de vendor lock-in.
"EBRC présente également de très hauts niveaux de compétences en matière de sécurité de l'information et de cyber-résilience ainsi qu'en gestion des processus et en gouvernance des systèmes d'information", rappelle Jean-François Hugon. "En combinant leurs expertises", résume-t-il, "InTech et EBRC accompagnent leurs clients dans leur parcours DevSecOps en les aidant à transformer leurs méthodes de développement mais aussi en assurant un transfert de compétences quant aux nouvelles manières d'aborder les infrastructures."
La transition DevOps vers DevSecOps : une compléxité à prendre en compte
Tant l'envergure que l’impact d’une transition vers le DevSecOps sont considérables. Et si le DevOps reste complexe aux yeux de développeurs fortement responsabilisés, les administrateurs systèmes sont contraints d'adapter leurs savoir-faire traditionnels à des systèmes d'informations configurés et gérés par du code. Ce sont là des éléments de risque dont il convient de tenir compte dans toute stratégie DevSecOps.
Du développement à l'exploitation, de l'idéation à la maintenance, EBRC et InTech conjuguent tous les atouts pour permettre aux entreprises d'intégrer sereinement, à leur organisation informatique, les facteurs-clés sur lesquels reposent une transition réussie vers le DevSecOps, qu'il s'agisse d'instaurer une collaboration active entre l’ensemble des parties prenantes, de normaliser les processus de développement et de livraison en y intégrant les exigences de cybersécurité, d'introduire de nouveaux outils technologiques d'automatisation des contrôles et des opérations, ou d'organiser une gouvernance transverse, commune à tous les métiers impliqués dans le cycle de vie des applications.