6 domaines clés à évaluer pour adopter la culture DevSecOps

Mais ces développements de plus en plus rapides et complexes s’accompagnent souvent de challenges inédits côté sécurité. Autant de nouveaux défis que les équipes DevOps doivent relever.

Pierre Bétouin, Senior Vice President Product Management chez Datadog, nous livre son expérience sur les compétences à évaluer pour adopter la culture DevSecOps.

L’approche DevSecOps (Development, Security Operations) est le meilleur exemple d’un domaine émergent qui vise à améliorer la gestion de la sécurité tout au long du cycle de développement logiciel (Software Development Life Cycle, SDLC), afin de garantir la sécurisation des applications et de leurs infrastructures en amont du déploiement en production.

Alors qu’elle est en plein essor au sein de l’industrie du développement logiciel, la tendance DevSecOps souffre encore d’un manque de méthodologies claires et standardisées pour permettre aux entreprises de l’adopter. C’est en réponse à ce besoin que Datadog a développé son modèle de maturité DevSecOps. Ce modèle cherche à aider les équipes d’ingénierie à identifier les lacunes de leurs processus de sécurité et à mettre en place une approche DevSecOps au sein de leur entreprise.  

Il se base sur la connaissance que Datadog a pu construire en observant la façon dont de nombreuses entreprises gèrent la sécurité de leurs applications et définit un ensemble de compétences-clés pour évaluer ses progrès dans l’adoption des pratiques DevSecOps.

Les processus de sécurité des entreprises d’aujourd’hui

Avec plus de 10 ans d’accompagnement auprès de 15 000+ entreprises dans leur adoption des pratiques DevOps (et maintenant DevSecOps), Datadog a pu observer des entreprises à tous les stades de leur maturité DevSecOps et en tire les conclusions suivantes :

Les équipes DevOps avancent plus vite que la sécurité. La sécurité peut rapidement devenir un goulot d’étranglement dans le processus de delivery (livraison), si elle ne met pas en place les bons processus pour suivre le rythme. C’est pourquoi les dirigeants sont conscients qu’il est nécessaire d’ajouter de meilleurs contrôles de sécurité directement au niveau du développement pour accélérer la delivery des logiciels et réduire les risques de vulnérabilité applicatives.

La sécurité est une pratique trop souvent silotée. Les équipes sécurité utilisent souvent des outils, des processus et une terminologie différents de ceux des DevOps, ce qui rend plus difficile l’intégration des pratiques de sécurité dans les workflows de développement existants.

Les entreprises se préoccupent de la sécurité de plus en plus tôt au cours du cycle de développement. Les équipes DevOps prennent de plus en plus de responsabilités en matière de sécurité, et les équipes sécurité elles-mêmes interviennent de plus en plus tôt au cours du cycle de développement. Cette évolution nécessite des changements substantiels dans toute l’entreprise pour une adoption réussie de la culture DevSecOps.

L’adoption de la méthodologie DevSecOps est plus rapide pour les entreprises avec une culture DevOps bien implantée. Cependant, même les entreprises matures constatent des lacunes importantes dans l’observabilité de la sécurité des applications, telles que l’absence de métriques de sécurité bien définies et visibles par toutes les équipes.

Les 6 champs de compétences clés à évaluer pour mettre en place une culture DevSecOps 

Datadog a identifié six compétences essentielles à la mise en place de processus DevSecOps au sein des entreprises. Comprendre la façon dont ces compétences impactent les entreprises et leur SDLC permet de clarifier le concept parfois abstrait de DevSecOps et d’identifier les étapes requises pour progresser dans l’adoption de cette méthodologie.