DevSecOps : Quelle collaboration entre les équipes en charge de la sécurité et du développement d’applications ?
ven, 15/09/2017 - 14:47
Veracode, une société spécialiste de la sécurité des logiciels et filiale de CA Technologies, présente les résultats d’une étude portant sur les relations entre les développeurs d’applications et les équipes de sécurité. Réalisée avec le concours d’Enterprise Strategy Group (ESG), l’enquête révèle que l’approche DevOps offre un terrain d’entente pour encourager la collaboration et le changement. Contrairement à l’idée reçue selon laquelle leurs priorités entreraient en conflit, la mise en place d’environnements DevOps et la recherche d’innovation en matière de produits les amènent à partager un même objectif : la création de logiciels sécurisés. Ainsi,.
L’importance croissante du DevSecOps
L’enquête avait pour but de déterminer les points de vue des professionnels de la sécurité et des développeurs vis-à-vis des tendances actuelles en matière de sécurité des applications et de développement de logiciels :
- 45 % des personnes interrogées, dont l’organisation a adopté des principes et meilleures pratiques DevOps, estiment que ce modèle simplifie la tâche pour les développeurs.
- 43 % des sondés, dont l’organisation utilise actuellement des solutions de sécurité (ex. : tests statiques), affirment que leur entreprise est motivée par l’efficacité supplémentaire liée à la prise en compte de ce paramètre au cours du processus de développement. Cette approche serait en effet plus efficace que celle consistant à corriger des systèmes de production a posteriori.
- Seuls 8 % pensent que prendre en compte la sécurité des applications au processus de développement ralentirait les environnements DevOps.
Ces résultats démontrent que la recherche de la sécurité n’est certainement pas un frein au développement de logiciels. Pour Mos Amokhtari, CTO France de CA Technologies : « Les logiciels restent le premier facteur d’innovation et de croissance économique. Une des priorités des DSI est donc d’éliminer la friction entre équipes de développeurs et équipes de sécurité. Notre enquête démontre une perception positive sur l’alignement entre ces deux équipes. Les développeurs peuvent et doivent voir la sécurité comme une part intégrante de leurs activités. »
Ces résultats viennent à point nommé pour les entreprises, soulignent les auteurs de l'étude. En effet, les attaques exploitant des vulnérabilités au sein de logiciels sont de plus en plus fréquentes et graves. Le cas du ransomware WannaCry, qui profitait d’une faille au sein d’une ancienne version de Windows en est l’une des nombreuses preuves. Bien que l’éditeur ait publié un correctif pour cette vulnérabilité, des milliers d’organisations ne l’avaient pas installé et ont donc été infectées.
L’enquête montre également que près de 70 % des répondants comptent investir davantage dans la sécurité de leurs applications dans les 12 à 24 mois à venir, ce qui témoigne de l’importance croissante de ce paramètre dans le processus de développement.
L’influence du DevOps sur les besoins technologiques
« Les méthodologies de développement contemporaines comme le DevOps stimulent la communication et la collaboration entre les équipes de développement, de production et de sécurité ; l’objectif final étant d’identifier et de résoudre les vulnérabilités aussi vite que possible pour plus d’efficacité et de sécurité », explique Doug Cahill, analyste sénior chez ESG. « L’adoption accrue du DevOps et la volonté générale d’intégrer et d’automatiser les tests de sécurité tout au long du cycle de vie logiciel sont les signes que l’industrie s’oriente aujourd’hui vers une approche DevSecOps, qui implique de considérer la sécurité comme un critère de qualité du code.
L’enquête met en évidence cette réalité, à savoir la nécessité de faire de la sécurité des applications une part intégrante du processus DevOps pour développer le concept DevSecOps. Ce besoin est à la fois largement reconnu et accepté. Cependant, la complexité des outils et l’incapacité à intégrer la sécurité des applications au workflow DevOps constituent des obstacles majeurs à l’efficacité des déploiements. Or, les résultats de l’étude mettent également en lumière les technologies nécessaires pour faire du DevSecOps une réalité. Ainsi, la capacité à intégrer des outils de test statique et de gestion du cycle de vie logiciel (42 %), et la capacité à intégrer des outils de test dynamique et de gestion du cycle de vie logiciel (34 %) au sein des processus DevOps et de développement d’application ressortent comme étant les priorités des professionnels évaluant des produits et services dédiés.
Pour consulter le rapport complet et une infographie, cliquez ici.
Méthodologie
Cette enquête a été menée par ESG auprès de 400 professionnels de l’informatique aux États-Unis, au Royaume-Uni et en Allemagne pour le compte de Veracode. Pour découvrir comment le DevSecOps permet de combiner rapidité et sécurité dans le cadre du développement logiciel, Veracode vous propose de télécharger le Guide du développeur DevSecOps galactique de Veracode.