Abonnez-vous à notre
Newsletter

DevSecOps : la nouvelle donne de la cybersécurité pour les entreprises

personnes en réunion de travail

Avec DevSecOps, un seul mot d’ordre : décloisonner l’informatique pour renforcer la cybersécurité des entreprises ! En mettant tous les acteurs très en amont autour de la table, les organisations tentent de se prémunir du cyberrisque dès la phase de conception de leurs logiciels et applications. Une révolution des usages, qui commence à faire son chemin.

Gestion du risque cyber : l’enjeu de l’anticipation

L’impact financier des cyberincidents ne cesse de grimper, multiplié par six l’année dernière, pour atteindre un coût médian de 50 000 euros par entreprise concernée, selon le rapport 2020 d’Hiscox. L’assureur en cyberrisques relève d’ailleurs une pratique dangereuse dans les organisations : celle de prendre des mesures additionnelles et correctives, une fois le risque mis au jour et/ou l’attaque survenue… Une « habitude » pour le moins coûteuse. Plus une faille est détectée tard, plus il est dispendieux de la corriger. Il serait ainsi entre 1 et 100 fois moins cher de réaliser une correction en amont, en phase de déploiement d’un outil, plutôt qu’a posteriori, en cas de souci.

On comprend alors tout l’enjeu d’intégrer la cybersécurité au plus tôt dans le développement des applications et des outils informatiques des entreprises. Et c’est toute la finalité de la méthode DevSecOps qui traduit, en quelques sortes, la philosophie du security by design dans les organisations.

Quand la sécurité devient native

Au commencement était DevOps : la collaboration des équipes de développement et des équipes opérationnelles. Jusqu’alors, ces équipes, chargées de développer les applications, et chargées de leur exploitation, étaient séparées. DevOps porte un objectif commun au sein des entreprises : faire dialoguer ces équipes autour d’une table.

Il restait cependant un domaine à décloisonner à son tour, et à intégrer à tout le processus créatif : la sécurité. Commence ainsi à émerger un nouveau concept : DevSecOps. Un changement de paradigme, qui oblige à raisonner « sécurité » dès la phase de conception des outils informatiques. Exactement comme le security by design qui s’applique généralement aux projets informatiques plus importants comme la refonte d’infrastructure, ou la fabrication de serveurs.

Les équipes de sécurité IT ne sont plus sollicitées en bout de chaîne, mais elles deviennent parties prenantes à toutes les étapes de la conception et du codage des outils. Elles apportent, au fur et à mesure, les couches de protection nécessaires.
La méthode DevSecOps, dans sa concrétisation technique, s’appuie largement sur le cloud pour maintenir des délais de fabrication satisfaisants, malgré l’intégration des couches de sécurité. Et, avec l’automatisation des tests et contrôles de sécurité, abondamment utilisée dans ce cadre, on débusque plus rapidement les bugs, failles et autres vulnérabilités. Une manière de réduire les inefficacités avant la mise en production. Ce qui améliorerait intrinsèquement les niveaux de protection, et in fine optimiserait les coûts.

Les équipes IT attendues au tournant

La méthode s’avère d’autant plus intéressante dans un contexte pandémique qui ne cesse de redistribuer les cartes du risque, et oblige à l’agilité. Le télétravail devient la norme (avec son lot de vulnérabilités) ; les cyberattaques n’ont jamais été aussi nombreuses qu’en 2020 ; la crise économique va amener à réaliser des choix cornéliens en matière de budgets cyber. À en croire le consultant Simon Persin, les équipes IT sont particulièrement attendues sur l’efficacité des process de sécurité et la rationalisation des investissements. De quoi les encourager à se saisir de la méthode DevSecOps.
Et pour Adam Palmer, stratège en cybersécurité pour l’entreprise Tenable spécialiste en matière d’analyse des risques, raisonner « sécurité globale » serait même une question de compétitivité. DevOps, enrichi de son volet cybersécurité, serait ainsi à même de « renforcer l’entreprise », et « garantira à la fois sa stabilité et sa productivité, même en période de tempête ».

Un gap culturel à franchir

En 2020, Gitlab, plateforme de développement collaborative open source – qui couvre l’ensemble des étapes DevOps et revendique 30 millions d’utilisateurs dans le monde – a mené une étude sur la tendance DevSecOps dans 21 pays. Elle confirme que les rôles dévolus aux responsables de la sécurité IT sont en train d’évoluer vers cette méthode. Ils sont 60 % à considérer que DevSecOps redistribue les rôles en matière de sécurité. Et 27 % d’entre eux indiquent de plus en plus être intégrés aux activités de développement. Signe que l’idée fait réellement son chemin.