DevSecOps a pour objectif de fournir des services qui allient le meilleur en termes de Développement, Sécurité et Opérations. DevSecOps est une évolution du mouvement DevOps, lui-même né pour accompagner le mouvement Agile.
Rappel des concepts
Agile est un ensemble de méthodes et pratiques qui visent à mettre l’humain au centre du développement logiciel, et en particulier l’utilisateur. Cette méthodologie consiste à capturer régulièrement le feedback de ce dernier, à travers des itérations courtes au terme desquelles un incrément du logiciel est mis à disposition pour tests.
Le DevOps, est un état d’esprit, une manière de travailler qui rassemble et mélange les compétences des développeurs et celles des opérationnels dès le début du projet, de sorte que chacun s’y retrouve et s’en trouve enrichi.
Traditionnellement parent pauvre du cycle de développement, la sécurité s’invite dorénavant à cette approche. Les bénéfices de mixer Dev et Ops se trouvent encore bonifiés par l’adjonction de la Sec. Dans ce cadre de travail collaboratif du modèle DevOps, la sécurité devient une responsabilité partagée, intégrée du début à la fin.
Cette notion est si importante qu'elle a donné naissance à l'expression "DevSecOps" pour souligner le besoin d'intégrer la sécurité aux projets DevOps.
L'approche DevSecOps implique de réfléchir à la sécurité de l'application et de l'infrastructure dès le départ.
En effet, l'approche DevSecOps repose sur une sécurité intégrée qui protège les applications et les données. La sécurité reléguée à la fin du processus de développement confronte les entreprises qui adoptent l'approche DevOps, soit à retarder leurs projets pour l’intégrer plus tard, soit à diminuer le niveau d’exigence sur ce point ; ce qu'elles essayaient précisément d'éviter.
Le DevSecOps, c’est la nécessité d'impliquer les équipes chargées de la sécurité dès le début des projets DevOps, en vue d'y intégrer les fonctions de sécurité des informations et d'en planifier l'automatisation.
Les avantages de DevSecOps :
- Optimiser la sécurité et le business des entreprises et plus globalement, le niveau de qualité des technologies de sécurité du marché.
- Protéger les clients finaux grâce à une sécurité renforcée, car basée sur un travail collaboratif avec les diverses entités (réseau / développement / sécurité, etc.), et beaucoup plus orientée sur les nouvelles menaces.
- Accélérer l’automatisation.
DevSecOps chez NSI…
En qualité d’intégrateur, pour NSI, la mise en œuvre de DevSecOps est une évolution logique, en phase avec le marché; où par essence les projets ne sont plus à ranger dans un silo développement sur mesure, solution logicielle ou infrastructure, mais bien un mix de ces différentes dimensions.
Les équipes de développement, formées au processus DevSecOps, sont sensibilisées à la sécurité et travaillent avec l’équipe opérationnelle en charge de la sécurité. Inversement, les équipes Sécurité s’intègrent dans l'écosystème plus large de DevOps et ont une meilleure perception des responsabilités de leurs collègues.
Les équipes travaillent en « Squad » réunissant des collaborateurs aux expertises variées dans les domaines du développement, de la sécurité et de l’architecture ou encore du déploiement.
Pour en savoir plus à ce sujet,