Bjoern Zinssmeister est le fondateur et PDG de Templarbit, une société de renseignement sur la sécurité qui aide les entreprises à mettre en place une approche de l'AppSec basée sur les données. Il partage son expérience et ses réflexions sur l'avenir de DevSecOps dans ce blog.

En 2002, alors que j'étais programmeur junior dans une société allemande de logiciels d'entreprise, j'ai eu la chance de faire partie d'une petite équipe qui développait ce que l'on appellerait aujourd'hui une application SaaS. Jusqu'à présent, l'entreprise avait réalisé tous ses bénéfices en vendant des logiciels de bureau écrits dans un langage que la plupart des gens n'avaient probablement jamais entendu parler : FoxPro. Mais au lieu de passer mes journées à déboguer du code FoxPro, je me suis mis à tester des services Web JAVA.

Aujourd'hui, je me rends compte que l'entreprise était en avance sur son temps car elle a su anticiper l'avenir des applications Web. Mais à l'époque, cette nouvelle façon de concevoir et de distribuer des logiciels était à la fois passionnante et effrayante. Beaucoup de choses n'étaient pas encore comprises et l'une des préoccupations immédiates était la sécurité. Le Web n'était pas considéré comme un endroit très sûr et quelques années plus tôt, en 1998, nous avions eu les premières discussions publiques sur une injection SQL sur le Web, démontrant à quel point un système basé sur le Web peut être vulnérable.

C'est pour cette raison que nous avons fait un effort pour livrer du code sécurisé en établissant un processus d'examen de sécurité à la fin d'une version, un processus très isolé qui pouvait parfois révéler des défauts structurels susceptibles de retarder le développement de plusieurs semaines ou mois, entraînant ainsi une frustration considérable.

Je suis heureux que les choses aient changé depuis. Aujourd’hui, l’une des tendances les plus passionnantes que j’ai vues se développer et perdurer est DevOps, et sa nouvelle itération, « DevSecOps », consiste à intégrer la sécurité plus tôt dans le cycle de développement des applications. Les équipes de sécurité sont désormais encouragées à interagir avec les développeurs plus tôt qu’auparavant, ce qui permet une boucle de rétroaction beaucoup plus étroite. L’objectif principal de DevSecOps est de garantir que la sécurité fait partie du cycle de développement et non pas simplement ajoutée à la fin.

Avantages de DevSecOps

Avec DevSecOps, les équipes de développement et de sécurité sont en mesure d’établir une vision et un langage communs pour évaluer les risques. Cette approche permet également à une organisation d’élargir le champ des discussions sur la sécurité plutôt que de confiner les décisions importantes dans la bulle de l’équipe de sécurité.

Voici les trois principaux avantages qui, selon moi, ont le plus d’impact pour les organisations lors de l’adoption d’un processus DevSecOps :

1. La vitesse et l’agilité augmenteront, ce qui conduira à des clients plus satisfaits.
   Les logiciels ont des utilisateurs finaux et ces derniers veulent une expérience exceptionnelle, de nouvelles fonctionnalités et des intégrations. Ils veulent également que les bugs soient corrigés rapidement. Tout cela est désormais possible tout en créant un produit plus sécurisé. Avec la sécurité au sein de l'équipe Agile, les organisations peuvent désormais repérer les éventuelles vulnérabilités en amont et éviter aux développeurs de s'engager sur une voie fragile.
2. La sécurité devient un sport d’équipe.
   Lorsque la sécurité est intégrée au processus de développement logiciel, elle favorise une culture dans laquelle chacun commence à considérer le rapport risque/valeur ; en d’autres termes, la sécurité devient une responsabilité partagée. Les ingénieurs commencent à prendre l’habitude d’analyser une nouvelle fonctionnalité du point de vue de la sécurité pendant la phase de planification. Les chefs de produit encouragent et intègrent souvent même une discussion sur l’impact potentiel d’une modification de l’application sur la sécurité. Lorsque davantage de personnes commencent à réfléchir à la sécurité dès le début, les entreprises deviennent plus efficaces pour fournir des logiciels plus sécurisés par défaut.
3. Vous rechercherez activement l’automatisation.
   Une grande partie de DevSecOps consiste à exploiter l'automatisation de la sécurité pour aider à atteindre la vitesse et la couverture continue. La chaîne d'outils DevOps fournit la passerelle parfaite vers une configuration de sécurité plus automatisée. Lorsque la sécurité est considérée comme un sous-produit naturel du flux de travail de développement, vous voudrez naturellement comprendre comment la configurer de manière à ce que chaque validation soit analysée pour détecter d'éventuelles vulnérabilités, ainsi que des audits automatisés des bibliothèques tierces. Magnifique.

DevSecOps présente de nombreux autres avantages, mais l’amélioration d’une expérience client positive, la promotion d’une culture axée sur la sécurité en interne et la promotion active de l’automatisation des tâches de sécurité sont quelques-uns des concepts les plus impactants que DevSecOps peut débloquer pour une entreprise.

Technologie de sécurité pour DevOps

Le rapprochement entre la sécurité et le flux DevOps peut se faire de plusieurs manières, mais il commence souvent par l’introduction de nouvelles technologies. Ces technologies sont le ciment entre les personnes et les processus, et elles facilitent également les efforts de révision manuelle de la sécurité tout en apportant de la visibilité et des indicateurs de performance à l’équipe. Je recommande souvent aux entreprises de commencer à considérer les technologies suivantes comme base de leur DevSecOps :

• Tests de sécurité des applications statiques automatisés (SAST)
• Surveillance des dépendances open source
• Sécurité des applications d'exécution
• Alertes en temps réel pour les événements de sécurité de haute gravité

Avec ces quatre piliers en place, vous pouvez établir une base de base pour DevSecOps qui prend en compte l'ensemble du cycle de vie d'une application. Le lancement d'une analyse de sécurité statique des applications lors de la validation d'un nouveau code est une excellente étape pour détecter rapidement les problèmes courants. L'extension de cette fonction pour vérifier également les vulnérabilités connues dans les dépendances open source est la prochaine étape naturelle.

Une fois la version promue en production, assurez-vous de disposer de capacités de surveillance et de blocage actives avec des rapports suffisants. Idéalement, cette surveillance d'exécution sera liée à vos alertes en temps réel pour avertir les personnes qui peuvent agir sur les alertes. Après tout, il est très souhaitable que la bonne personne soit immédiatement informée d'un problème de sécurité de haute gravité, car elle met l'accent sur vos clients.

Et après?

L’avenir de DevSecOps est prometteur et l’établissement d’une sécurité proactive qui se concentre sur l’expérience client et anticipe les violations de données plutôt que de réagir à une violation de données est un changement dans lequel de nombreuses entreprises investissent.

Les avantages que DevSecOps offre à ces entreprises sont nombreux, notamment la réduction des coûts, la rapidité de livraison, la mise en œuvre de la conformité à grande échelle et la capacité à favoriser un état d'esprit de sécurité. La suppression des barrières entre le développement, la sécurité et les opérations continue d'évoluer, et de nouveaux outils pour y parvenir plus efficacement continuent d'émerger.

Au fil du temps, nous verrons probablement une intégration et une orchestration plus étroites entre les différents outils de sécurité natifs de la chaîne d’outils DevOps. Les fournisseurs de sécurité d'exécution adoptent des intégrations avec Slack, PagerDuty et d'autres outils de notification en temps réel, et je pense que ces intégrations deviendront plus approfondies et permettront de fournir plus rapidement de meilleures informations à la bonne personne.

Vérifiez PagerDuty – Intégration Templarbit ici.