Pour ceux d’entre nous suffisamment vieux pour s’en souvenir, le mouvement DevOps est apparu vers 2007/2008. Ses partisans s'opposaient à l'époque au modèle logiciel traditionnel qui appelait à ce que les développeurs qui écrivent du code soient séparés de ceux qui déploient et prennent en charge le code. Ceci que ce soit sur le plan organisationnel ou fonctionnel. La raison était que ces équipes cloisonnées, préoccupées uniquement par leurs propres objectifs, ont abouti à des versions bâclées, des retards importants, des communications médiocres et, finalement, des clients mécontents. Il a fallu quelques années pour gagner du terrain, mais lorsque Gartner a adopté le concept en 2011, l'adoption a explosé et les pratiques de développement Agile telles que la construction et les tests automatisés ainsi que l'intégration et la livraison continues sont devenues la nouvelle norme.

• La sécurité et la conformité rejoignent le mix

Agile, DevOps et la promesse tenue d'intégration et de livraison continue sont devenus une réalité. Les équipes de développement et d’exploitation étaient enfin sur la même longueur d’onde. Chacune étant capable de voir l’objectif final d’une phase en cours, offrant ainsi la flexibilité nécessaire pour apporter des modifications et des améliorations en cours de route. Et accélérant ainsi la livraison de logiciels de qualité. Malheureusement, au cours de ces premières années de succès du DevOps, la sécurité et la conformité restaient généralement cloisonnées. Ce silo a fait en sorte que la sécurité soit une réflexion secondaire, bloquée vers la fin du cycle de vie du développement des applications, et par conséquent, la sécurité a été blâmée pour les goulots d'étranglement retardant la livraison.

L’année 2014 a été marquée par une augmentation exponentielle des failles de sécurité par rapport à l’année précédente. Selon un article paru dans Security Week à l’époque, 2014 a marqué l'année où, pour la première fois, un milliard d'enregistrements ont été compromis dans plus de 1 500 violations de données notables, soit une augmentation de 80 % par rapport à 2013. Home Depot, JP Morgan Chase et eBay étaient parmi les nombreuses entreprises exposées aux pirates. Compte tenu de ces violations et d’autres violations très médiatisées, était temps de réévaluer les processus de développement et de donner à la sécurité et à la conformité une place centrale autour de la table.

Alors que des recherches menées par Microsoft et d'autres montrent que 80 % des failles de sécurité étaient liées à des erreurs de configuration, le concept DevSecOps, plaçant la sécurité au premier plan dans le processus de développement Agile, garantit que les actifs soient configurés correctement. Ce qui assure une conformité continue en exécutant des analyses constantes pour identifier les dérives de configuration.

Cette approche peut être étendue au-delà du centre de données, à n'importe quel cloud et à n'importe quel edge, où même les applications peuvent être gérées et vérifiées par rapport aux normes de conformité et de sécurité. Il est même possible d’étendre un cadre de conformité DevSecOps unique aux actifs cloud natifs, notamment Kubernetes et les services de cloud public.

Aujourd’hui, on peut affirmer sans se tromper que le terme « DevOps » perd probablement de sa pertinence, mais « DevSecOps » est bel et bien vivant. Ceci à condition que l’entreprise adopte les changements de culture, de personnes et de processus nécessaires à son succès. Les outils et la technologie sont essentiels au DevSecOps, tout comme l’adoption d’une culture selon laquelle la sécurité est la responsabilité de chacun. Cette culture nécessite d’instaurer un état d’esprit axé sur la sécurité au sein des équipes ainsi que de mettre en œuvre des outils de test de sécurité automatisés essentiels.

·         Qu’en est-il de l’ingénierie des plateformes ?

L'ingénierie de plate-forme a récemment suscité un intérêt et génère désormais un buzz considérable en raison de l'accent mis sur la création et l'exploitation de plates-formes de développement internes (IDP) en libre-service pour la livraison de logiciels et la gestion du cycle de vie. La plate-forme est prise en charge par des services ou des outils en couches, créés et maintenus par une équipe produit dédiée, conçus pour répondre aux besoins des développeurs de logiciels en assemblant essentiellement des composants pour créer une expérience de développement sans friction.

Comme le dit Gartner, « l’ingénierie de plateforme est une approche technologique émergente qui peut accélérer la livraison d’applications et le rythme auquel elles produisent de la valeur commerciale ». En fait, Gartner s'attend à ce que « d'ici 2026, 80 % des entreprises d'ingénierie logicielle établiront des équipes de plateforme en tant que fournisseurs internes de services, composants et outils réutilisables pour la fourniture d'applications. L’ingénierie des plates-formes résoudra à terme le problème central de la coopération entre les développeurs de logiciels et les opérateurs. »

Dans ce contexte, l’ingénierie de plateforme s’appuie certainement sur les concepts Agile de DevOps et DevSecOps. Un examen plus approfondi du DevOps/DevSecOps et de l’ingénierie de plateforme montre qu’ils partagent tous deux de nombreuses caractéristiques, mais qu’ils peuvent également être combinés de manière à offrir de plus grands avantages aux organisations qui y réfléchissent en tandem. Il est facile de voir le lien intégral entre l’ingénierie de plateforme et DevSecOps, et le paysage plus large de la gestion des infrastructures. Par exemple :

o Expérience et productivité des développeurs – DevSecOps étend l'expérience et le support de productivité au-delà du développeur aux opérations informatiques, à la sécurité et à la conformité.

o Automatisation – L'automatisation de la configuration de l'infrastructure ainsi que des tâches de conformité à l'aide d'une approche de politique en tant que code est la clé de voûte de DevSecOps. L'ingénierie de plate-forme offre la possibilité d'étendre l'automatisation aux autres parties du cycle de vie de développement.

o Libre-service – Il s'agit d'un autre concept courant dans lequel l'ingénierie de plate-forme peut s'appuyer sur l'approche orientée automatisation et services utilisée par DevSecOps pour permettre non seulement aux développeurs un libre-service pour le code/test/déploiement, mais également pour permettre aux développeurs d'être plus efficaces. proactif et efficace dans le domaine de la sécurité et de la conformité.

o Accélérer la valeur – L'accélération de la valeur est au centre de tout outil technologique, des plates-formes aux outils et processus.

D'une approche de développement Agile soutenue par DevOps/DevSecOps et s'étendant désormais à l'ingénierie de plateforme, l'objectif final consiste à accélérer la livraison d'applications à fort impact avec des mises à jour continues qui sont hautement résilientes, fiables et sécurisées. Compte tenu des synergies et de la pression exercée sur les entreprises pour fournir rapidement des applications tout en luttant contre les cybermenaces, tout effort d’ingénierie de plateforme doit garantir que DevOps/DevSecOps joue un rôle central.

Même si les termes « DevOps » et, dans une certaine mesure, « DevSecOps » semblent un peu datés et hors de propos, le rôle évolutif qu'ils joueront certainement à mesure que l'ingénierie de plate-forme prend pied ne doit pas être sous-estimé.