La lutte de DevSecOps : Les points à retenir de DevSecCon Singapore 2019
Selon Gartner , DevSecOps devient l’un des sujets les plus brûlants. Mais combien de professionnels de l’informatique le comprennent ? Non, ce n’est pas DevOps en soi ; il n’explique pas comment passer du développement traditionnel en cascade au développement agile basé sur Scrum. Ce n’est pas non plus un simple sujet de sécurité. Alors, en quoi une conférence DevSecOps différerait-elle des événements habituels sur la sécurité et DevOps ?
En février, je l'ai découvert. J'ai assisté à DevSecCon à Singapour. Les participants et les intervenants étaient répartis entre des professionnels de la sécurité et du développement, c'était donc un très bon mélange entre ces deux camps. Permettez-moi de partager trois points à retenir des sessions auxquelles j’ai assisté (avec également quelques citations sélectionnées de développeurs présents à la conférence) :
Changement de culture de développement
« Chaque développeur devrait suivre une formation en sécurité. »
« La sécurité informatique est la responsabilité de tous. »
Ils ont également déclaré que, même si les développeurs ne donnent généralement pas la priorité à la sécurité, ils doivent vraiment s'intégrer dans le monde de la sécurité. Les développeurs ont présenté plusieurs défis liés à la sécurisation des applications et ont exploré comment ils peuvent tirer parti de la sécurité dans leur culture ou leur style. Le sentiment général était en faveur de l’intégration d’équipes de sécurité dans leurs projets. Quelqu'un a même suggéré : « Les équipes de sécurité doivent participer aux réunions avec les clients le plus tôt possible, afin de ne pas avoir à y retourner plus tard pour identifier les problèmes. »
Changement de culture de sécurité
« Nous, les professionnels de la sécurité, devrions essayer d’être des techniciens, et non pas simplement pointer du doigt les développeurs. »
« J’ai l’impression que les équipes de sécurité ne sont pas douées pour automatiser les processus. Ils ont tendance à recourir par défaut à des processus manuels.
« Nous suggérons aux équipes de sécurité de commencer par établir une relation avec les équipes de développement. »
Ces trois commentaires suggèrent que les praticiens de la sécurité peuvent et doivent faire partie des équipes de développement. Je dirais que la lutte partagée par les équipes de sécurité était l’autre côté de la médaille : le personnel de sécurité veut savoir comment il peut mieux défendre les projets DevOps. Ils savent qu’ils ne doivent pas être un obstacle au développement et qu’ils doivent également mettre en œuvre certaines des chaînes d’outils ou des processus utilisés par DevOps. C’est pourquoi « Shift left » – l’idée qui semblait également être un sujet important lors de la conférence RSA SFO 2019 – a été largement mentionnée lors de cet événement. Cela est nécessaire non seulement parce que les professionnels de la sécurité souhaitent accroître leur valeur, mais aussi parce qu’ils considèrent que c’est le seul moyen de s’adapter à l’ère du commerce numérique.
Talent
« Les organisations ont tendance à embaucher davantage de développeurs, tout en oubliant d’embaucher des professionnels de la sécurité. Par conséquent, la mise à l’échelle des équipes de sécurité devient un problème.
« Le manque de talents en matière de sécurité des applications en est la cause fondamentale. La plupart de ceux qui postulent à des postes de sécurité des applications sont des professionnels de la sécurité des réseaux.
Un autre problème qui a été souligné est le manque de ressources et de talents. Comme vous pouvez le constater à partir de ces commentaires, les postes liés à la sécurité des applications ne sont pas faciles à pourvoir. Les équipes de sécurité ont du mal à évoluer tandis que leurs organisations se concentrent sur l’accélération du développement pour répondre aux besoins de l’entreprise. Bien entendu, la chaîne d’outils et l’automatisation devraient combler cette lacune en rendant le travail de l’équipe de sécurité évolutif et plus rapide. J’ai pensé que cela ne devrait être que la première phase. À long terme, les tâches DevOps et de sécurité devraient être suffisamment simplifiées pour que les talents DevOps et de sécurité puissent jouer les deux rôles.
***
La culture au sein de cet espace n’est pas facile à changer, mais tout le monde sait qu’elle doit l’être. Il était intéressant de voir comment les intervenants des équipes de sécurité et de développement avaient des thèmes, des difficultés et des suggestions communs. L'idée partagée : il s'agit de la manière dont les développeurs et les responsables de la sécurité s'unissent en une seule équipe avec les mêmes objectifs. La bonne nouvelle est que de nombreux fournisseurs de chaînes d’outils et de solutions se concentrent désormais sur cette approche simplifiée. Il s’agit d’une sorte de démocratisation des technologies d’ingénierie logicielle, ainsi que des solutions de sécurité. Nous avançons donc tous dans cette direction.