Développeurs et professionnels de la sécurité travaillent généralement de façons bien différentes. Si les premiers ont tendance à donner la priorité à la vitesse de programmation et de développement des applications, les équipes de sécurité adoptent bien souvent une approche plus prudente pour éviter les brèches et réduire la surface d’attaque. Les différences entre ces deux disciplines IT ont toujours existé mais, aujourd’hui, il est essentiel qu’elles aillent au-delà et renforcent leur collaboration.

A l’heure de migrer dans le cloud, 92 % des entreprises s’orientent vers une stratégie multi-cloud, faisant par la même occasion le choix d’un environnement complexe et d’une sécurité difficile à gérer. Elles doivent trouver le juste équilibre entre innovation et sécurité pour, tout à la fois, réussir leur transformation numérique, répondre à l’évolution de leurs infrastructures IT et relever les défis de la cybersécurité. Pour y parvenir, les équipes DevOps et SecOps doivent coopérer et adopter le DevSecOps.

Lorsque tout le monde est responsable de la sécurité, celle-ci est intégrée dès le départ dans les tâches de développement, et non ajoutée laborieusement par la suite ou corrigée lorsqu’une vulnérabilité est détectée. La sécurité ne doit plus dépendre d’approches en silos, mais être intégrée dans tous les workflows de l’entreprise. Quelle que soit la façon de faire, cela passera toujours par l’adoption d’une culture collaborative de la sécurité et une meilleure communication entre les équipes.

Favoriser la communication entre DevOps et SecOps avec de nouveaux processus

Selon Gartner, le DevSecOps sera largement adopté dans les deux à cinq prochaines années. Avec l’augmentation des menaces de cybersécurité, les développeurs se sentent de plus en plus responsables de la sécurité dans leur entreprise, et beaucoup mettent désormais en place des mesures de sécurité bien plus en amont. On prévoit d’ailleurs que d’ici 2022, 90 % des professionnels DevOps auront ajouté la sécurité à leurs pratiques. Si le secteur évolue dans la bonne direction, le chemin à parcourir est toutefois encore long.

Les différences entre SecOps et DevOps se sont accumulées au fil des ans, il est donc peu probable que ce changement se fasse tout seul, du jour au lendemain. Les processus internes doivent évoluer et cela doit être soutenu au plus haut niveau – par les CISO et les dirigeants de l’entreprise qui sont conscients de l’évolution de la cybersécurité et de la relation tripartite entre les personnes, les processus et les technologies nécessaire à la création de lieux de travail plus innovants et sécurisés.

L’investissement dans la sensibilisation et la formation des développeurs à la sécurité est un très bon début. Mais il ne sera possible que si les principales parties prenantes reconnaissent son importance. Les développeurs, quant à eux, peuvent être proactifs dans leur approche de la sécurité et comprendre ces menaces grandissantes qui mettent l’adoption du cloud en danger ; mais s’ils ne sont pas formés pour faire face à ces problèmes, aucun progrès significatif ne pourra être enregistré.

Ce qu’il faut avant tout pour améliorer la sécurité du cloud, c’est de la communication. En mettant en place de nouveaux processus qui permettent aux développeurs de demander de l’aide aux équipes de sécurité quand ils en ont besoin, ce n’est pas seulement la productivité qui sera améliorée des deux côtés : cela leur permettra d’engager une conversation continue qui, à son tour, favorisera la culture de la collaboration.

Outils de collaboration et automatisation

Des outils technologiques peuvent également être utilisés pour aider les équipes DevOps et SecOps à travailler ensemble de manière plus transparente. En matière de sécurité du cloud, il faut s’assurer que les développeurs comprennent ces outils, car cela va les inciter à implémenter la sécurité plus en amont dans leurs processus de développement.
A l’inverse, si l’équipe SecOps met en place un outil de sécurité qui entre en conflit avec les besoins des développeurs, cela va créer les mêmes problèmes que lorsqu’ils écrivent ou utilisent du code vulnérable et facilement pénétrable.
Les deux équipes ont besoin de coexister et d’identifier les technologies qui vont les aider à mieux travailler ensemble, plutôt qu’entraver leur collaboration.

L’automatisation de la sécurité peut également alléger la charge de travail de tous ceux qui doivent se battre contre un déluge de fausses alertes. Une solution automatisée va rationaliser ces alertes, en fournissant un contexte riche et immédiat, aidant ainsi les équipes DevSecOps à obtenir des réponses plus rapidement, à effectuer un tri et une remédiation ciblés, et à revenir plus rapidement au développement de produit.

S’il est clair que les développeurs et les professionnels de la sécurité jouent tous deux un rôle important dans l’optimisation du cloud, il est encore plus essentiel qu’ils travaillent ensemble pour garantir que toute nouvelle innovation est sécurisée. La clé consiste ici à s’assurer que ceux qui dirigent les équipes comprennent l’importance de changer les processus. De nouvelles pratiques pourront alors être mises en place afin que la collaboration se fasse naturellement, et que les technologies servent de fondation à un cloud plus coopératif et sécurisé.
___________________

Par Philippe Van Hove, ice-Président Central and South EMEA, Lacework