Académique Documents
Professionnel Documents
Culture Documents
1. Le business d’aujourd’hui
De nombreux intervenants nous font de plus en plus savoir que l’IT est devenu le vrai business des
entreprises aujourd’hui. En effet, existe-t-il une entreprise de taille importante dont l’informatique ne
consiste pas en un poste de coût majeur, et en un département qui produit également de la valeur ?
Les demandes se font toujours de plus en plus nombreuses pour avoir des applications et des services à
consommer rapidement (un peu comme les applications sur smartphone), et cela malgré des risques en
cybersécurité qui apparaissent chaque jour. Il est rare de rester plus d’un mois sans entendre qu’un très
grand groupe a été la victime d’une attaque informatique.
Comment continuer à produire rapidement des services et produits de forte qualité, tout en maintenant
des conditions de sécurité élevées pour l’infrastructure et le code ? Le DevSecOps apparaît comme une
réponse possible à cette équation.
Pour délivrer des logiciels et effectuer du développement, les entreprises ont beaucoup fonctionné en
silos (et nombre d’entre elles le font toujours aujourd’hui). C’est-à-dire qu’elles étaient (et sont parfois
toujours) composées en équipes séparées, chargées de s’occuper d’une partie du système d’information :
une équipe de développeurs, une équipe pour les systèmes Linux, une équipe pour la virtualisation, une
équipe pour le réseau, une équipe pour les datacenters, une équipe pour la sécurité, etc.
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -1-
Omar BITEYE
Grâce à l’avènement du Cloud et du DevOps, les choses ont commencé à changer. En effet, les équipes de
delivery regroupent désormais les développeurs, mais aussi les ingénieurs système et Cloud. Les
échanges se font ainsi dorénavant à l’intérieur d’une seule et même équipe.
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -2-
Omar BITEYE
Les équipes Cloud peuvent alors fournir aux développeurs les bases d’automatisation, et de pipelines
d’intégration et de déploiement continus leur permettant de travailler en autonomie, sans avoir besoin de
les solliciter directement. De plus, ils peuvent effectuer le RUN (maintien en condition opérationnelle) et le
support de la plateforme Cloud sur laquelle travaillent les équipes.
Cependant, les aspects sécurité sont toujours en dehors du cycle de développement des logiciels, ce qui
peut occasionner des ralentissements dans la capacité des équipes à
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -3-
Omar BITEYE
Grâce au DevSecOps, la sécurité est intégrée directement dans les équipes s’occupant du développement
et dans celles dont le rôle est de maintenir la plateforme Cloud opérationnelle.
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -4-
Omar BITEYE
Les méthodes mises en place par les équipes Cloud peuvent ainsi être facilement réutilisées par toutes
les autres équipes DevOps travaillant sur des produits et des fonctionnalités différentes. Les
responsabilités, en matière de sécurité, de chaque équipe, sont beaucoup plus claires et permettent à tout
le monde de mieux intégrer les différents périmètres au niveau desquels ils doivent se sentir concernés.
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -5-
Omar BITEYE
L’adoption du DevSecOps par les équipes est un réel enjeu. Beaucoup d’entreprises s’y sont essayées…
sans succès.
Un élément qui fonctionne plutôt bien consiste à intégrer des membres de la sécurité dans les équipes et
les différents processus. En effet, dans certaines entreprises, il est souvent question de Security
Champions : un représentant de l’équipe sécurité qui intègre une équipe de développement ou
d’infrastructure, pour travailler avec elle au quotidien.
Accompagner les équipes dans l’utilisation des CIS Benchmark, accessibles sur le lien
https://www.cisecurity.org/cis-benchmarks/, comportant un certain nombre de guides pour renforcer la
sécurité des systèmes et produits, peut également être une clé à une bonne adoption des pratiques de
sécurité.
Il est également possible de se conformer aux référentiels correspondant aux outils utilisés. Vous pouvez
accéder à l’AWS IAM Best practices sur la page
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -6-
Omar BITEYE
Il est vrai que les équipes ont besoin de se transformer du point de vue organisationnel pour évoluer vers
des méthodes plus efficaces. Cependant, il ne faut pas oublier que les individus sont essentiels à une
bonne transformation.
En effet, le DevSecOps apporte la nécessité pour les professionnels de l’informatique, de devenir des T-
Shaped peoples, c’est-à-dire des individus capables d’intervenir sur des domaines variés grâce à leurs
compétences multiples.
Ils doivent donc avoir la capacité de monter en expertise et en connaissances générales, pour avoir une
bonne vision d’ensemble et penser et agir en dehors des silos qui existent dans l’entreprise.
Tous les intervenants doivent posséder des compétences de base dans la mise en
œuvre des tests de sécurité et en gestion des risques.
© Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -7-