Le devops évolue vers le devsecops
Alors que le devops évolue vers le devsecops, les obstacles culturels font perdurer une certaine résistance dans la prise en compte de la sécurité.
Le devops est devenu courant dans les entreprises de développement de logiciels du monde entier, mais beaucoup d'entre elles sont encore aux prises avec des problèmes culturels qui empêchent les experts de la sécurité d'intervenir dans les pratiques devsecops, une implication pourtant cruciale pour le développement d'applications cloud de nouvelle génération. Mais, comme le montre l'enquête devsecops 2021 récemment publiée par GitLab, qui a interrogé près de 4 300 développeurs, quand il est bien mis en oeuvre, le devops peut induire des changements spectaculaires. L'enquête révèle ainsi que la pandémie de COVID-19 a « incité les équipes à se concentrer sur l'adoption de technologies devops de pointe », notamment Kubernetes, l'intelligence artificielle, l'apprentissage machine et le cloud. Selon l'enquête de GitLab, l'adoption plus large des capacités liées au devops a accéléré le développement de logiciels, 84 % des développeurs déclarant qu'ils publiaient de nouveaux logiciels plus rapidement que jamais, et un sur cinq déclarant qu'ils publiaient un nouveau code 10 fois plus rapidement.
Les défis de l'adoption du devsecops
Pourtant, alors que les développeurs se sont naturellement familiarisés avec de nouveaux processus de développement plus rapides, cette rapidité a aussi créé des défis paradoxaux autour de l'adoption du devsecops. Car, même si les prescriptions concernant la sécurité sont devenues plus importantes que jamais, le devsecops est encore considéré par beaucoup comme un obstacle à la vitesse de livraison. « Au cours de l'année écoulée, le devops a mûri et il est arrivé en force avec ces adoptions technologiques, mais il reste des obstacles à franchir avant de parvenir à un véritable devsecops », note ainsi le rapport de GitLab.
Les tests de sécurité restent un obstacle, 42 % des personnes interrogées dans le cadre de l'enquête estimant que ces tests intervenaient trop tard dans le processus de développement. Une proportion similaire de répondants a déclaré qu'il leur était difficile de traiter et de corriger les failles de sécurité. Cependant, 72 % des professionnels de la sécurité interrogés ont déclaré que leur entreprise déployait de « bons » ou « importants » efforts en matière de sécurité, contre 59 % l'année précédente. Face à la confusion qui persiste sur certaines questions, par exemple, savoir qui est responsable de la sécurité, Johnathan Hunt, vice-président de la sécurité chez GitLab, a déclaré : « Une délimitation plus claire des responsabilités et l'adoption de nouveaux outils sont nécessaires pour que la sécurité s'impose comme une priorité ».
Les anciens défis du devops répercutés dans le devsecops.
Le rapport valide les prédictions du cabinet d'analystes Gartner, qui prévoyait en 2020 que 75 % des initiatives devops ne répondraient pas aux attentes en raison de problèmes persistants autour de l'apprentissage et du changement organisationnel. Une récente enquête menée par le fournisseur de cybersécurité Vectra AI auprès de 317 responsables informatiques a identifié certaines insuffisances parmi les plus problématiques. Notamment, près d'un tiers des entreprises interrogées n'ont toujours pas mis en place de processus d'approbation officiel sur les nouvelles versions de logiciels avant de les mettre en production. « Étant donné que 64% des entreprises déploient de nouveaux services chaque semaine ou même plus fréquemment, ce défaut de vérification de la sécurité menace la sécurité globale », a déclaré Vector AI, mettant en garde contre les « angles morts » qui ne cessent de s'étendre à mesure que les entreprises investissent dans les plateformes cloud. « Le cloud s'est tellement développé qu'il est presque impossible de le configurer en toute sécurité avec une confiance continue », a encore déclaré Vector AI, notant que « le risque augmente de manière exponentielle à mesure que le nombre de personnes pouvant accéder à l'environnement cloud augmente ».
Il est intéressant de noter que certaines régions sont plus touchées que d'autres. Ainsi, seulement 37 % des personnes interrogées en Asie-Pacifique dans le cadre du rapport « 2021 State of Devops » de Puppet ont déclaré que le facteur culturel était un obstacle à l'évolution des pratiques devops dans leur entreprise - soit, bien en dessous de la moyenne mondiale de 47 % - tandis que 23 % ont déclaré que la technologie était davantage un problème. Ces répondants ont identifié un « ensemble très spécifique de défis » où le facteur culturel pouvait entraver la progression vers les pratiques devops, notamment les facteurs qui découragent le risque, ceux où les responsabilités ne sont pas clairement définies, ceux qui ne privilégient pas l'optimisation du flux rapide et n'incluent pas suffisamment de boucles de rétroaction. Tous ces facteurs créent une accumulation de problèmes au fil du temps, ce qui peut entraîner une stagnation qui fait que de nombreuses entreprises plafonnent après avoir achevé seulement une partie de leur transformation devops.
Devops rime avec rigueur
Le rapport de Puppet distingue deux écoles de pensée en matière de devsecops : celles qui disent qu'il ne devrait pas y avoir de terme, car la sécurité est fondamentale à la fois pour le développement et les opérations et celles qui voient le devsecops comme « un appel explicite à l'action pour commencer à inclure la sécurité dès le début du cycle de vie du développement logiciel ». « De nombreuses entreprises pensent qu'il y a plus d'écart entre la fonction de sécurité et la partie conception du développement logiciel qu'entre le développement et les opérations », note encore le rapport. « Les symboles et les étiquettes peuvent être un levier puissant pour favoriser la conduite du changement », ajoute encore le rapport.
Au total, 51 % des entreprises ayant une culture devops très développée ont déclaré intégrer la sécurité dans les exigences, tandis que la sécurité était également intégrée dans les étapes de conception (61 %), de construction (53 %) et de test (52 %) du cycle de vie du développement logiciel. Les entreprises dont les pratiques devops sont moins matures font état d'une moindre rigueur en matière de sécurité, 48 % d'entre elles vérifiant la sécurité dans le cadre d'audits de production programmés et 45 % menant ces audits uniquement en cas de problème dans la production. Les chiffres confirment que « les bonnes pratiques de sécurité et les meilleurs résultats en matière de sécurité sont rendus possibles par les pratiques devops. À mesure que les pratiques devops s'améliorent, le devsecops suit naturellement », conclut le rapport de Puppet.