DevSecOps est une méthodologie de développement logiciel apparue il y a quelques années, mais qui se développe rapidement. Davantage d'entreprises à travers le monde l'utilisent comme l'un des principaux moyens d'intégrer la sécurité dans le processus DevOps. Une enquête réalisée par Security Compass auprès de 250 grandes entreprises américaines et britanniques a révélé que les trois quarts (75 %) d'entre elles ont mis en œuvre des processus DevSecOps dans le cadre de projets de développement d'applications en cours. Cela dit, quelque chose leur manque encore.L'enthousiasme grimpe de plus en plus autour des DevSecOps
DevSecOps est un changement de culture dans l'industrie du logiciel qui vise à intégrer la sécurité dans les cycles de diffusion rapide typiques au développement et au déploiement des applications modernes, également connu sous le nom de mouvement DevOps. Cette nouvelle méthodologie exige des organisations qu'elles comblent le fossé qui existe généralement entre les équipes de développement et de sécurité au point où de nombreux processus de sécurité sont automatisés et gérés par l'équipe de développement elle-même.
Le concept guide les équipes de développement et de sécurité, en démontrant l'avantage d'intégrer la sécurité dans le produit au moment du développement et en rendant les développeurs responsables de la réflexion sur les opérations. Une étude menée conjointement par Synospys, un centre de recherche sur la cybersécurité, et Censuswide, une société de recherche mondiale axée sur l'insight, auprès de 1500 professionnels de l'informatique, en 2020 a révélé que 63 % des répondants ont déjà mis en place, d'une manière ou d'une autre, le concept DevSecOps dans leur entreprise.
De son côté, Security Compass, développeur de la première plateforme d'automatisation du développement équilibré (BDA - Balanced Development Automation) de l'industrie, a publié cette semaine les résultats d'un nouveau rapport, "The 2021 State of DevSecOps" (l'état de DevSecOps en 2021). L'étude a été conçue pour recueillir des informations sur les différentes approches et opinions concernant les DevSecOps, en mettant l'accent sur les grandes entreprises (plus d'un milliard de dollars de chiffre d'affaires annuel) où les menaces à la sécurité sont les plus graves.
L'étude de Security Compass s'est concentrée sur la compréhension et l'expérience globales des DevSecOps, la maturité de leur adoption, les défis, le temps et le budget investis, l'exhaustivité du programme… L'amélioration de la sécurité, de la qualité et de la résilience des logiciels est le principal moteur des programmes DevSecOps découverts dans l'étude. La mise sur le marché plus rapide de la technologie était le deuxième facteur le plus important, tandis que la réduction des coûts était le facteur le moins important.
Le rapport révèle également comment les perceptions de la sécurité et de la conformité évoluent à mesure que les organisations atteignent la maturité de leurs programmes DevSecOps. Les points de vue des PDG et des praticiens de première ligne, y compris tous les niveaux intermédiaires, sont comparés et contrastés tout au long du rapport. Voici ci-dessous un résumé des diverses conclusions du rapport.
Un faible niveau d'automatisation qui retarde la livraison des logiciels
L'automatisation insuffisante du développement de logiciels est la première cause de retard dans la mise en circulation des produits. Rohit Sethi, PDG de Security Compass, a déclaré que le rapport sur l'état des DevSecOps en 2021 montre clairement que de plus en plus d'organisations commencent à adopter la sécurité dès la conception, au fur et à mesure qu'elles développent leurs applications. Trois quarts des personnes interrogées (75 %) ont déclaré que leur organisation suit une approche "par conception" qui leur permet d'aborder de manière proactive la cybersécurité et la conformité réglementaire.
Les principales raisons invoquées par les répondants pour adopter les meilleures pratiques DevSecOps étaient l'amélioration de la sécurité, de la qualité et/ou de la résilience (54 %), suivie par la capacité à mettre plus rapidement les applications sur le marché (30 %). L'une des idées fausses sur DevSecOps est qu'il ralentit le développement et le déploiement des applications. Les participants à l'étude ont indiqué que les défis techniques, les silos organisationnels et l'automatisation insuffisante sont les principales raisons pour lesquelles les processus de sécurité et de conformité ralentissent le temps de mise sur le marché.
En effet, près des trois quarts des répondants (73 %) ont noté que les processus manuels de sécurité et de conformité ralentissent la publication du code, ce qui retarde en fin de compte la mise sur le marché et affecte la compétitivité. Cependant, Sethi estime que, dans la pratique, DevSecOps permet aux organisations de résoudre les problèmes de sécurité et de conformité.
Pour finir, près de la totalité des répondants, soit 96 %, ont déclaré que leur organisation bénéficierait de l'automatisation des processus de sécurité et de conformité.
Les défis techniques : principal frein à l'adoption initiale des DevSecOps
Le rapport publié mardi par Security Compass cite plusieurs points techniques qui constituent les principaux obstacles à l'adoption initiale des DevSecOps. « Lorsque nous avons entrepris cette étude, nous étions impatients de mieux comprendre l'état d'adoption des DevSecOps ; et les résultats montrent clairement que les processus de sécurité manuels sont un obstacle à la mise sur le marché des produits en temps voulu et ont un impact sur la compétitivité d'une entreprise », a déclaré Sethi.
Les principaux obstacles au DevSecOps cités par les répondants à l'enquête sont les défis techniques (60 %), suivis par le coût (40 %), le manque de temps (39 %), le manque d'éducation (38 %), le manque de compétences (36 %) et l'inertie organisationnelle (35 %). En ce qui concerne le déploiement des applications, les principales raisons citées par les 51 cadres de la catégorie C qui ont participé à l'enquête sont l'automatisation insuffisante et le manque d'outils, à 51 % chacun. Les obstacles organisationnels venaient en troisième position (50 %).
Par ailleurs, la majorité des répondants (73 %) ont déclaré que leur organisation suit "à la lettre" (de manière proactive) les principes de sécurité informatique et de conformité réglementaire. Les dirigeants, en particulier les responsables de la gestion des risques, au sein des grandes entreprises qui adoptent DevSecOps pour la majorité de leurs applications se disent confiants dans leur capacité à répondre aux besoins de conformité réglementaire et de gestion des risques. Sethi espère que l'étude va aider les entreprises à prendre conscience de l'importance de l'automatisation dans le processus de développement logiciel.
« Nous espérons que cette étude sensibilisera les gens aux façons dont l'automatisation peut résoudre des problèmes importants dans le développement d'applications sécurisées et nous nous réjouissons de publier d'autres études tout au long de 2021 pour soutenir les entreprises dans leur démarche DevSecOps », a-t-il déclaré. « À plus long terme, il est clair que la plupart des organisations s'orientent vers des architectures de confiance zéro pour rendre leurs environnements applicatifs plus sûrs. Toutefois, pour atteindre cet objectif sur un large éventail d'applications, il faudra investir davantage dans l'automatisation et, à terme, dans diverses formes d'intelligence artificielle (IA) », a conclu Sethi.
Source : The 2021 State of DevSecOps
Et vous ?
Que pensez-vous de cette étude ? Pertinente ou pas ? Que pensez-vous du nouveau concept DevSecOps ? Apporte-t-il plus de faciliter dans le développement logiciel que l'approche DevOps ? Votre organisation emploie-t-elle des DevSecOps ? Si oui, quels avantages cela apporte-t-il à votre organisation ?Voir aussi
L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide IBM annonce la disponibilité de Code Risk Analyzer dans son service IBM Cloud Continuous Delivery pour apporter aux développeurs des analyses de sécurité et de conformité à DevSecOps 73 % des professionnels de la sécurité et des développeurs sacrifient la sécurité pour la vitesse, seulement 20 % d'entre eux estiment que leurs organisations ont atteint la pleine maturité DevSecOps Existerait-il une corrélation entre le niveau de maturité des pratiques DevOps et la satisfaction au travail des développeurs ? Oui, selon l'enquête DevSecOps Community Les violations de données par le biais de logiciels / bibliothèques open source ont augmenté de 71% en 5 ans, selon un rapport