Omar BITEYE

La transformation du business par le

DevSecOps

1. Une nouvelle façon de travailler

Le DevSecOps modifie la façon de travailler des équipes, mais aussi de la partie business. En effet, par sa
culture qui lui est propre, il implémente de nouveaux processus et de nouvelles technologies pour mener à
bien les différentes tâches et problématiques auxquelles il a pour vocation de répondre.

Cette culture tourne autour de quelques principes importants, qui sont intimement liés au DevOps. En
effet, la coopération entre les équipes, mais également entre le business et la technique, est indispensable
à l’adoption de cette nouvelle organisation. Les éléments technologiques peuvent apporter des outils
intéressants, permettant notamment l’automatisation de certaines tâches de sécurité, comme la capacité
à effectue du « Shift Left ». Enfin, tous ces éléments peuvent être mesurés afin de démontrer l’efficacité de
ces nouvelles pratiques.

2. La règle du IN : Input, Involve et Invest (contribution, implication

et investissement)

Plus les stakeholders (parties prenantes) sont impliqués tôt dans les processus, mieux les projets se
déroulent. Cela permet d’identifier et d’anticiper les prérequis, les défis ou les risques inhérents.

En effet, lorsque ces contributions sont obtenues dès les premières étapes de la réalisation d’un projet, il
devient possible d’obtenir des shorten feedback loops, c’est-à-dire des avis et des retours, très rapidement.
Les équipes DevOps peuvent ainsi facilement s’adapter et ajuster leurs pratiques. En somme, il est
possible d’éviter que l’équipe de développement ne parte dans une mauvaise direction et effectue du
travail qui ne correspond pas à ce qui est souhaité.

Impliquer et sensibiliser les parties prenantes dès le début, dans les audits et la

© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -1-
 Omar BITEYE

conformité, permet également de mieux cerner les impacts que peuvent avoir les politiques de sécurité
sur l’architecture et l’implémentation des solutions.

C’est pour ces raisons qu’il est souvent nécessaire d’investir du temps dans l’architecture en amont, et
dans les ressources qui vont devoir être mobilisées (y compris pour de la formation par exemple) afin de
mener à bien l’ensemble des projets.

3. Le « Shift Left »

Il s’agit d’une approche qui a pour but de développer du code de qualité en effectuant des tests le plus en
amont possible du cycle de développement.

Cependant, il n’est pas question uniquement de codes, mais aussi d’architecture globale, que ce soit
l’architecture réseau, ou le fait d’effectuer du développement en microservices.

Par exemple, avant de permettre aux développeurs d’utiliser des images Docker particulières pour leurs
développements, des tests peuvent être implémentés pour vérifier si ces images ne comportent pas de
faille de sécurité. Cependant, ces vérifications peuvent occasionner une perte de temps lorsqu’elles sont
effectuées pendant les phases de développement. C’est pourquoi, si les équipes de sécurité effectuent du
hardening (renforcement de la sécurité) sur les images avant de les rendre disponibles aux développeurs,
elles agissent suffisamment en amont, pour ne pas entraîner de perte de temps lors du développement.

La notion de « Shift Left » s’étend à l’architecture, au renforcement des images utilisées, aux tests de
sécurité des applications, etc.

4. Quelques statistiques

D’après le Digital Business Executive Survey de 2019 proposé par IDG, le business digital est défini
comme : « la création de nouveaux concepts d’entreprise brouillant les frontières qui existent entre
mondes physiques et digitaux. […] La transformation numérique consiste à utiliser des technologies de
type 3rd platform (logiciels ou services tiers) pour créer de la

© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -2-
 Omar BITEYE

valeur et obtenir un avantage concurrentiel grâce à de nouvelles offres, de nouveaux modèles

commerciaux, et de nouvelles relations ».

Ainsi, 91 % des entreprises déclarent avoir adopté ou ont prévu d’adopter, sous peu, une stratégie business
digitale. Les objectifs premiers de ces entreprises sont de répondre aux attentes des clients (52 %),
d’améliorer la productivité des collaborateurs (49 %) et de mieux gérer les performances du business à
travers la visibilité et la disponibilité des données (49 %).

Les principaux axes de recherches technologiques se concentrent ainsi sur la 5G, l’intelligence artificielle
(IA), et le Machine Learning (ML).

5. DevSecOps, business et sécurité

Par nature, la sécurité correspond à un élément en mutation continue, particulièrement dans une culture
DevOps. C’est pour cette raison qu’il convient d’intégrer les pratiques de sécurité à l’intérieur même des
environnements de développement et au niveau des infrastructures. Ainsi, la sécurité devient partie
intégrante du travail effectué par les équipes au quotidien.

Cependant, ce n’est pas parce que les équipes ont l’habitude de travailler de manière « Secure by design »
que la création de rôles complémentaires n’a pas d’importance. Par exemple, la mise en place de solutions
de surveillance de type SIEM (Security Information Event Management), ou encore la création de règles à
respecter pour mettre l’usine logicielle (aussi appelée DevOps Factory) ou l’infrastructure en conformité
avec les standards les plus importants des secteurs concernés.

Tout comme le DevOps, le DevSecOps ne se résume pas simplement à du code ou à des outils, mais est
plutôt une mutation profonde de la façon dont fonctionne le business au niveau de ses attentes et de ses
besoins.

 Vous devez cependant retenir que le but « ultime » du DevSecOps consiste en la

transformation du business.

© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -3-