Le DevOps est devenu une pratique relativement courante dans les entreprises. Mais les DSI souhaitent y intégrer la problématique de la sécurité. C’est le DevSecOps.

Quatre entreprises sur dix en France ont un projet DevSecOps à plus ou moins long terme. Un chiffre qui montre que le Security by Design a le vent en poupe, dans un contexte où la protection des données est plus que jamais au cœur des préoccupations et des législations. C’est ce qu’indique l’enquête intitulé L’Observatoire DevSecOps pour la DSI 2019 que vient de publier MicroFocus auprès de DSI d’entreprises françaises.

L’automatisation, un avantage dans la protection des données clients

Pour les entreprises, les initiatives DevOps d’automatisation du cycle de vie des applications sont prédominantes. Elles voient en effet en l’automatisation le moyen d’accroître leur productivité, leur rapidité d’exécution, mais également de réduire les taches répétitives, parfois sources d’erreurs humaines.

« L’automatisation permet aux équipes de développeurs de pouvoir revenir à des versions antérieures rapidement en cas de failles de sécurité liées au code, commente Guillaume Alex, DevSecOps Evangelist chez Micro Focus. Avantage non négligeable quand lon sait que la protection des données clients est la préoccupation majeure des DSI ».

Des entreprises de plus en plus sujettes aux incidents de cybersécurité

Les contraintes légales liées à la protection des données personnelles sont d’autant plus de rigueur que près de 7 responsables informatiques sur 10 interrogés admettent avoir déjà subi des incidents de sécurité.

Parmi les causes explicatives :

– Le manque de sensibilisation de l’organisation IT,
– Les bonnes pratiques de gestion des problèmes sont peu adoptées par les DSI, ce qui n’encouragent pas la définition et la mise en œuvre de plans de prévention,
– Le manque de formalisme des retours d’expériences, ne permettant pas de capitaliser en transverse de la DSI,
– Les boucles de rétroaction des équipes de production, les Ops, vers les équipes de développement, les Dev, sont trop rares et ne permettant pas d’enrichir en continu le relevé des besoins en termes de sécurité applicative.

La sécurité IT encore trop peu intégrée aux cycles applicatifs

Intégrer la sécurité au début de la phase de développement est une pratique encore relativement rare, une entreprise sur trois seulement le pratiquent principalement par manque de ressources et de compétences (66 %) et de budget (45 %). De surcroit, 67 % des équipes de sécurité n’interviennent que ponctuellement dans le cycle applicatif.

Paradoxalement, les avantages du Security by Design emporte l’adhésion

Pourtant, la majorité s’accorde sur les avantages d’une démarche de Security by Design ou DevSecOps, notamment pour le respect des exigences de sécurité / conformité (82 %), la prévention active de la cybercriminalité (60 %) et la réduction du nombre d’incidents post-déploiement (58 %).

« Plus un bug est détecté tardivement dans le cycle de vie d’une application, plus le coût de résolution est élevé. En effet, un bug de sécurité détecté en production coûte 100 fois plus cher à résoudre que lorsquil a été détecté dans la phase de spécification. En automatisant les tests de sécurité́ sur lensemble du cycle de vie applicatif, le cout potentiel de non qualité pour l’entreprise sera infiniment moindre, sans parler de son image de marque. De plus, le traitement des vulnérabilités de façon intégrée permet de ne pas ralentir le rythme de livraison, » conclut Guillaume Alex, DevSecOps Evangelist chez Micro Focus.


Mieux vaut prévenir que guérir : les recommandations de Micro Focus

– Sensibiliser et la former les équipes opérationnelles aux risques de sécurité et aux bonnes pratiques,
– Intégrer la Security by Design c’est-à-dire sécurité́ intégrée dans le cycle applicatif notamment en livraison continue,
– Engager la standardisation du recueil d’exigences de sécurité,
– L’automatisation des tests de sécurité,
– Systématiser les tests d’intrusion : automatiser au maximum les tests de sécurité́, prendre en compte les recommandations et mesures correctives soulevées par les rapports d’audit,
– S’appuyer sur des équipes dédiées à la cybersécurité́, avec un renfort de sociétés spécialisées notamment pour mener des audits externes.