Au programme des Rencontres de la Sécurité des 29 et 30 septembre, une présentation DevOps. De quoi s’agit-il et pourquoi cette thématique dans un événement sur la sécurité ? Eclairage avec Agile Partner qui s’est positionné en expert de la question au Luxembourg et animait la table ronde “Comment marier agilité, DevOps et sécurité des applications”.

DevOps, toute une culture

Lorsqu’on parle DevOps, on ne parle pas d’une solution ni d’une personne, on entend faire interagir le développement et l’opérationnel. Plus qu’une méthode, c’est une culture, un mouvement, initié par le management, une politique du groupe, à l’initiative d’une équipe, ou via l’intervention d’acteurs locaux ayant plus de maturité dans le domaine.

Les bénéfices de DevOps se font ressentir sur :

• La qualité du code: ce qui est livré est de meilleure qualité grâce à des feedbacks rapides,
• La fluidification du cycle de vie des applications: collaboration, process, automatisation,
• Le B2C : le client reçoit plus souvent les améliorations (le nombre de release dépend du secteur d’activité et du rythme désiré).

DevOps vise à favoriser les échanges, la collaboration, la compréhension des besoins et des contraintes, ainsi que les techniques (process et outils) permettant d’améliorer et de fluidifier la chaine de valeur (besoins > développements > validations > utilisations business). Les échanges et les actions ne se limitent plus aux différents intervenants dans chaque silo identifié, mais nécessitent une collaboration transverse efficace et optimale (ça n’implique pas une dissolution de la ségrégation des responsabilités!).

Pourquoi cela sert la sécurité ?

Potentiellement, les applications pourraient être déployées plus souvent dans l’infrastructure. Les contraintes d’infrastructures changent pour permettre des déploiements plus fréquents et non plus trimestriels / semestriels / annuels.

Les jeunes diplômés ont déjà intégré ces éléments d’agilité dans leur technique de travail. Il faut donc trouver la bonne mesure pour implémenter DevOps dans les équipes actuelles.

DevOps rime ainsi avec développement continu et l’agilité est un atout indéniable face à la sécurité souvent statique et les temps trop long de patching sur l’applicatif. En effet, pouvoir développer plus vite c’est aussi patcher plus vite les failles quand on sait que l’applicatif est la première porte d’entrée des intrusions.

Lorsque la sécurité s’intègre très tôt et tout au long du développement on touche au ‘security by design’. Elle devrait de fait intervenir de manière judicieuse et adaptée pendant le cycle de vie des applications: analyse de code statique, analyse passive lors des validations en QA, analyse dynamique, analyse des environnements, etc … De facto, la sécurité devrait être intégrée au cycle de vie des applications. Le périmètre des intervenants dans le domaine de la sécurité s’élargit: les développeurs se forment pour écrire du code sécurisé, les sysadmins se forment pour patcher les systèmes en fonction des failles de sécurités détectées, développeurs et infra collaborent pour sécuriser les échanges de données, …

La sécurité dans une approche DevOps doit être considérée tout au long du cycle de vie d’une application: le fameux “fail fast” s’applique également à la sécurité. Implémenter DevOps n’est pas un objectif, c’est un moyen pour répondre aux besoins.