Équipes de sécurité et équipes opérationnelles : l’entente cordiale ?

Par Ed Cabrera, Chief Cybersecurity Officer,Trend Micro

L’évolution de la gestion traditionnelle des services IT vers DevOps vise un objectif de rapidité et d’efficacité. Au sein d’environnements cloisonnés, le développement applicatif s’articule autour de rôles spécifiques. Par exemple, un développeur prend en charge une étape spécifique du cycle de développement, tandis qu’un testeur se focalise uniquement sur ses tâches d’assurance qualité. De leur côté, les équipes opérationnelles se chargent d’assurer la haute disponibilité et productivité de l’infrastructure. L’ironie est que cette spécialisation des rôles peut, in fine, obérer l’efficacité, notamment lorsque les différentes parties d’une organisation ne sont pas en lien.

Dans leur quête d’efficacité, les organisations ont commencé à se pencher sur DevOps, qui tend à associer les disciplines du développement et celles des opérations. DevOps, qui est à la fois une philosophie et un ensemble d’outils, a pour ambition de simplifier et normaliser le cycle de développement logiciel et applicatif, d’améliorer l’efficacité et la maîtrise des coûts, et de favoriser agilité et capacité d’adaptation. Avec DevOps, l’organisation dans son intégralité doit cibler un objectif final commun et se focaliser sur la collaboration et une responsabilité partagée. Au sein d’un environnement DevOps, cette collaboration entre les différentes équipes est un vecteur d’accélération et de productivité du processus de développement.

Intégrer la sécurité au sein du cycle de développement

Si les objectifs de rapidité et de productivité sont essentiels, il n’en reste pas moins que les disciples de DevOps doivent se protéger contre les menaces ciblant leurs applications ou systèmes. Cette optique est d’autant plus critique face à l’idée (fausse d’ailleurs) que la conception d’un environnement DevOps sécurisé freine le cycle de développement.

Dans un contexte DevOps, la sécurité relève d’une responsabilité partagée entre les parties prenantes du cycle de développement applicatif : chacune de ces parties doit contribuer à la sécurité des applications, des données et même de l’infrastructure dans sa globalité. De manière traditionnelle, les tests de sécurité sont menés en fin de cycle de développement. Mais avec DevOps, la sécurité peut être évaluée à différentes étapes de ce processus, avec notamment une visibilité sur la sécurité des périmètres spécifiques à chaque équipe.

Compte tenu de la nature agile de DevOps, avec la sortie de multiples versions dans un délai restreint, la sécurité doit être automatisée et intégrée au cycle de développement. Cette automatisation des processus de sécurité, tests logiciels et processus de recherche de vulnérabilités, permet justement de ne pas freiner le cycle de développement.

L’utilisation d’outils appropriés aide également les entreprises à optimiser leur sécurité DevOps. L’outil de sécurité des containers de Trend Micro en est un bon exemple.

Mais attention, la sécurité en environnement DevOps implique des efforts. Mais en optant pour les outils appropriés et en créant des processus efficaces, les organisations peuvent intégrer la sécurité au cœur de leur cycle de développement logiciel de manière transparente, aboutissant ainsi à une fourniture accélérée des services et à un niveau élevé de qualité et de sécurité.

 

Pour en savoir davantage sur Devops et la sécurité DevOps : https://www.trendmicro.com/vinfo/us/security/definition/devops?utm_source=trendlabs-social&utm_medium=linkedin-pulse&utm_campaign=06-2018-devops

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.