Mais comment peuvent-ils réussir à surmonter les obstacles liés au DevSecOps ? Il existe des étapes clés permettant d’aboutir à cet objectif et d’intégrer des processus de sécurité améliorant les pratiques DevSecOps.
Depuis que l’approche collaborative de développement et d’exploitation DevOps s’est étendue au concept de DevSecOps il y a près de 25 ans, l’idée sous-jacente était d’intégrer la sécurité pour accélérer le développement de logiciels de qualité. Et c’est devenu primordial dans tous les secteurs.
Or, à mesure que le défi de proposer des logiciels rapides et puissants s’intensifie, les changements et la complexité ont rendu le DevSecOps plus difficile à mettre en œuvre. Les demandes accrues en matière de collaboration, d’outils et le basculement vers les méthodes agiles ont augmenté les exigences de mise en œuvre. La vision la plus optimiste de Gartner est que d’ici 2025, 70 % des entreprises utiliseront des outils d’automatisation de l’infrastructure dans leurs processus DevOps. Cependant, la question demeure de savoir si les DSI peuvent réussir à surmonter les obstacles afin de faire du DevSecOps une réalité.
Une enquête mondiale de Progress auprès des décideurs informatiques et DevOps révèle que la majorité (86 %) des professionnels rencontrent des difficultés dans leurs approches actuelles en matière de sécurité. Avec plus de la moitié (51 %) admettant qu’ils ne comprennent pas parfaitement comment la sécurité s’intègre dans le DevSecOps. Il est donc clair que les équipes informatiques ont besoin d’une meilleure formation et d’un meilleur soutien pour adopter des pratiques efficaces.
Le consensus écrasant est que les dirigeants tardent à atteindre leurs objectifs DevSecOps, avec près des trois quarts (73 %) des décideurs informatiques qui admettent que davantage pourrait être fait pour améliorer leurs pratiques DevSecOps. En outre, 76 % reconnaissent qu’ils doivent adopter une approche plus stratégique de la gestion DevSecOps - et 17 % se considèrent encore au stade exploratoire et de preuve de concept.
Identifiant le plus grand obstacle au succès de DevSecOps, 71 % des personnes interrogées ont convenu que la culture du lieu de travail est un obstacle au progrès du DevSecOps. Les équipes de développement sont souvent poussées à donner la priorité à la vitesse de mise sur le marché plutôt qu’à la sécurité, éprouvant des difficultés à suivre les tâches de sécurité telles que la surveillance des vulnérabilités.
Atteindre un retour sur investissement est également un obstacle majeur, car le délai le plus courant pour tirer des avantages quantifiables des efforts DevSecOps était de 6 à 12 mois (45 %), bien que 31 % aient déclaré que cela avait pris plus d’un an. Le manque de formation peut également être un obstacle, bien qu’il soit essentiel pour une mise en œuvre réussie de DevSecOps et une collaboration à long terme entre les équipes de sécurité et de développement.
Les nouvelles technologies ont également ajouté à la complexité de DevSecOps, l’adoption du cloud native étant l’une des plus influentes. Par exemple, beaucoup ont vu les avantages de l’IA et 49 % avaient déjà mis en œuvre la politique en tant que code pour gagner du temps et éliminer les erreurs manuelles.
L’un des principaux facteurs commerciaux motivant l’adoption et l’évolution du DevSecOps au sein des entreprises est l’accent mis sur l’agilité. D’autres facteurs sont la réduction du risque commercial lié aux problèmes de qualité, de sécurité et de temps d’arrêt ou de performances et la nécessité de mettre en œuvre le DevOps pour prendre en charge un mandat de cloud ou une migration vers le cloud. Les principaux moteurs de l’adoption du DevOps sont les efforts de modernisation de l’infrastructure, la politique en tant que code et l’adoption du cloud native.
Les avantages d’un modèle de DevSecOps vont de la réduction des risques et des coûts à une livraison plus rapide et une conformité plus efficace. Le principal facteur technologique motivant l’adoption était la gestion efficace des menaces et des problèmes de cybersécurité (57 %). Cependant, 86 % rencontrent des difficultés dans leurs approches actuelles de la sécurité et, de manière alarmante, 51 % admettent qu’ils ne comprennent pas parfaitement comment la sécurité s’intègre dans DevSecOps.
Dans l’ensemble, l’étude a montré que les entreprises ayant une position de leader avaient besoin de plus d’un processus ou d’un élément technologique. En fait, les dirigeants ont investi avec succès dans la culture, les processus et la technologie, tout en continuant à identifier les domaines d’amélioration à court et long terme.
Une caractéristique clé de ceux ayant des positions dominantes était la priorité donnée à la construction d’une culture plus forte de collaboration et de formation. Certains (40 %) ont reconnu qu’il était très important de mettre en œuvre une formation à la sécurité et d’améliorer les compétences des développeurs, des propriétaires d’entreprise et d’autres équipes. 30 % étaient assez confiants dans le niveau de collaboration entre la sécurité et le développement et 60 % avaient identifié la nécessité d’améliorer la communication entre les développeurs, la sécurité et les opérations pour assurer le succès de DevSecOps.
Lors de l’examen des caractéristiques communes des approches de sécurité, près de la moitié (47 %) des dirigeants des principales entreprises ont mis en œuvre des pratiques de sécurité au début du processus de développement, tandis que 43 % des dirigeants ont réalisé des tâches de sécurité et de confiance automatisées et 41 % ont réduit le temps et efforts pour effectuer un audit de sécurité.
Les dirigeants ont également réalisé des bénéfices entre zéro et six mois (23%). Être en mesure de démontrer les avantages plus tôt au conseil d’administration signifiait que les entreprises pouvaient obtenir une adhésion et un financement supplémentaire pour de meilleurs outils et processus DevSecOps.
Étant donné que le renforcement de la productivité et de la posture de sécurité d’une entreoprise est désormais une priorité dans un environnement numérique en évolution rapide, certaines étapes clés peuvent aider les DSI à intégrer des processus de sécurité pour améliorer leurs pratiques DevSecOps :
Définir des rôles, des responsabilités et des processus clairs : Établir la propriété, les rôles et les processus est une case fondamentale à cocher. Les entreprises leaders dans la mise en œuvre du DevSecOps ont principalement été en mesure de développer un ensemble clair de politiques et de procédures (66 %) et de définir le rôle et les responsabilités du personnel au sein des équipes (62 %).
Adoptez une approche holistique : La priorisation doit commencer par le leadership. Pourtant, de nombreuses équipes de direction n’accordaient pas suffisamment d’importance ou d’investissement aux domaines clés qui assureront le succès du DevSecOps. Cela comprenait l’adoption d’une approche holistique de DevSecOps qui impliquait des équipes de toute l’entreprise.
Identifier les obstacles à la collaboration : L’identification des obstacles à la communication entre les équipes peut renforcer la confiance dans la capacité des différentes équipes, telles que la sécurité et le développement d’applications, à communiquer et à collaborer avec succès. L’importance de la communication interfonctionnelle ne peut être sous-estimée pour intégrer une culture de DevSecOps.
Incorporer de nouvelles technologies et de nouveaux processus : Le développement natif du cloud, l’IA et la politique en tant que code ont commencé à influencer la stratégie DevSecOps, mais se concentrer sur un domaine ne suffit pas ; les dirigeants doivent veiller à équilibrer la modernisation de la technologie, des processus et de la culture.
Renforcez la confiance dans la sécurisation de l’adoption du cloud native : La sécurité du cloud est essentielle, en particulier pour sécuriser de manière appropriée les charges de travail basées sur des conteneurs/Kubernetes. Faire du DevSecOps une discussion stratégique : où ils en sont dans leur parcours et quand prendre les mesures nécessaires pour réussir.
Investir dans la formation : Des ressources adéquates sont essentielles dans les domaines qui peuvent améliorer les résultats organisationnels, comme la culture. Pour créer un véritable changement dans une approche DevSecOps, davantage d’investissements sont nécessaires dans l’apprentissage continu des développeurs et des ingénieurs, ainsi que dans une meilleure communication entre les développeurs, la sécurité et les opérations.
Concentrez-vous sur la sécurité et l’automatisation, les leaders DevSecOps se concentrent sur les réalisations en matière de sécurité, beaucoup étant "assez confiants" dans l’intégration efficace des commentaires de sécurité/conformité dans le processus de développement logiciel (47%), la capacité à se protéger contre les risques de sécurité OWASP (37 %) et l’extension de la sécurité et de la conformité pour traiter les charges de travail mobiles (40 %). Du point de vue du développement, ils ont également été pour la plupart capables de créer une boucle de rétroaction continue (49 %) et d’automatiser les tâches de sécurité récurrentes (41 %).
Bien qu’une culture DevSecOps efficace ne se produise pas du jour au lendemain, les DSI doivent commencer à avoir des conversations honnêtes avec leurs équipes et les autres dirigeants de l’entreprise pour savoir où ils en sont dans leur parcours. Identifier cela est la meilleure façon de commencer à prendre les mesures nécessaires pour optimiser les processus, mais chaque entreprise peut toujours faire des progrès en matière de DevSecOps.
Bien que l’intégration de la sécurité dans les pratiques DevOps au niveau de base semble aller dans la bonne direction, il y a clairement du travail à faire, notamment en matière de stratégie, de collaboration et d’investissement dans la culture. En fait, la recherche montre que seulement 16 % des personnes interrogées accordent la priorité à la culture comme domaine à optimiser au cours des 12 à 18 prochains mois. Se concentrer sur la stratégie DevSecOps pour intégrer une culture de la sécurité dans le développement est essentiel à l’adoption à long terme, équilibrer l’innovation avec la sécurité peut vraiment libérer le potentiel commercial