Les entreprises adoptent-elles la bonne approche dans leur démarche DevSecOps ?

L’approche DevSecOps est sur toutes les lèvres. Conjuguant méthode DevOps et sécurisation du code au plus tôt lors des développements, DevSecOps réunit trois métiers autour d’un objectif commun : produire plus efficacement et avec une flexibilité plus grande que jamais grâce à l’automatisation des tests de sécurité.

Mais dans les faits, la question de la maturité des entreprises se pose. Car pour mettre en œuvre les bonnes actions et pleinement intégrer la sécurité à leur démarche DevOps, les organisations doivent avancer en conscience de leurs forces et faiblesses et faire entrer la sécurité applicative dans leur culture.

Le DevSecOps : une problématique de code uniquement ?

Pour bien mettre en œuvre la stratégie DevSecOps, il est nécessaire de se détacher de la seule problématique du code. Car celui-ci hérite en réalité des faiblesses de l’ensemble du système d’information : obsolescence de certains composants, cadre de développement insuffisamment protégé, absence de correctifs en cas de faille sont autant de menaces pesant sur les applications dès leur mise en production.

A cela s’ajoute la complexification des développements, qui impliquent souvent des composants tiers ou open source prêts à l’emploi et un environnement multicloud dont la sécurité ne peut être entièrement maîtrisée.

Poussées par l’impératif des délais, près de la moitié des organisations laissent ainsi des lacunes de sécurité s’installer dans leurs applications. Si l’objectif est le plus souvent de les corriger par la suite, les actions correctives tardent parfois à venir et exposent le SI aux intrusions.
L’utilisation de programmes de sécurité applicative est certes un pas important dans la démarche, mais le DevSecOps doit en réalité être mis en place à tous les niveaux, avec la contribution de toutes les parties prenantes.

Impliquer les développeurs dans la démarche DevSecOps et faire évoluer les mentalités

La sécurité se joue en grande partie au moment du développement. Il est donc logique que la contribution des développeurs en la matière soit encadrée au maximum. Dans un contexte complexe mêlant composants – et intervenants – externes et internes, applications héritées et nouveaux développements, la vigilance de ces développeurs doit être totale et les bons outils choisis pour les soutenir.

Les entreprises doivent donc commencer par sensibiliser et équiper leurs collaborateurs pour améliorer la sécurité du code sans entraver le processus de développement.

On s’appuiera pour cela sur :

• Les analyses de code statique (SAST) pour évaluer les failles dans le code source, SCA pour analyser les composants open source et IAST pour connaître la réaction des applications en temps réel
• Des outils intégrés qui limitent les silos et évitent les aller-retours d’information
• Une large part d’automatisation qui accélère les développements
• Des formations de type AppSec pour mieux connaître les vulnérabilités courantes et les bonnes pratiques

Dans les faits, les développeurs sont encore insuffisamment formés. Une enquête menée en 2020 par l’éditeur américain Veracode révèle que seulement 15% des entreprises mettent en place des formations régulières pour tous leurs collaborateurs. Ce manque de connaissance est préjudiciable non seulement à la sécurité des applications, mais aussi aux délais de développement, de nombreux correctifs devant alors être appliqués a posteriori.

Pour mieux sensibiliser, il est nécessaire de rapprocher les équipes et d’instaurer un véritable partage de responsabilité entre sécurité et développeurs. Une fois de plus, la vision transverse du DSI lui permettra de jouer un rôle important dans la prise de conscience et d’inscrire la sécurité dans les pratiques quotidiennes. Une évolution nécessaire que l’on retrouve dans la plupart des transformations et qui nécessite une préparation humaine non négligeable.

Associer automatisation et contrôle humain

L’automatisation est la réponse à bien des problématiques de développement : celle-ci accélère non seulement l’écriture du code, et donc le déploiement d’applications dans des délais courts, mais améliore aussi la qualité des vérifications de sécurité.

Les tests de sécurité automatisés permettent en effet de suivre les évolutions mineures sans négliger le moindre détail. Une capacité particulièrement utile lorsque les développements sont fréquents et les intervenants humains pas assez nombreux pour effectuer des contrôles rigoureux. L’automatisation sera également cruciale dans le cas de développements critiques et complexes ne laissant aucune place à l’erreur. Tests d’intrusion, scans de vulnérabilités et de dépendances : la machine traite les contrôles systématiques et laisse aux forces vives de l’entreprise le temps de se concentrer sur le cœur du développement.

Mais la seule automatisation est insuffisante pour sécuriser ses applications de manière optimale. Pour que la couverture des vulnérabilités soit complète, celle-ci doit s’accompagner d’échanges avec les intervenants humains, en particulier dans le cas où des vulnérabilités inédites sont détectées. Une fois alerté par la machine, le programmeur peut ainsi corriger rapidement et améliorer en amont les futurs développements.

Outre l’importance de la synergie humain-machine, les entreprises tardent à réellement intégrer la facette sécurité dans leur approche DevOps. L’ensemble du cycle de vie des applications est concernée, mais c’est véritablement à la source que l’action est la plus efficace. Faire collaborer naturellement développeurs et responsables sécurité permettra aux entreprises concernées de passer au niveau supérieur de sécurisation sans rogner sur les performances.