separateur

La culture DevOps

Pourquoi la culture DevOps peut-elle être bénéfique à votre organisation ?

L’intégration des méthodes Agiles au cours de la dernière décennie a mis en évidence la nécessité d’une approche plus holistique du processus de développement de logiciels. Mais cette approche ne doit pas être réservée qu’à la production de codes source… DevOps est un état d’esprit informatique qui encourage la communication, la collaboration, l’intégration et l’automatisation entre les développeurs de logiciels et les opérations informatiques afin d’améliorer la rapidité et la qualité de la livraison des logiciels.

Finalement, le DevOps participe à la transformation numérique des entreprises !

L’approche DevOps vise un objectif prioritaire : offrir la meilleure expérience aux clients et même aux autres métiers. La mise en place d’une équipe DevOps permet d’éliminer les silos organisationnels, d’optimiser la prestation des services et des fonctionnalités logicielles et de réduire tous les délais (mises à disposition des infrastructures, lancement de la production, tests techniques, préparation d’une campagne marketing…).

Pour comprendre comment cela est possible, rappelons les quatre piliers du DevOps :

  • La culture: DevOps, ce n’est pas que du « technique ». Il s’agit avant tout d’encourager et d’améliorer la communication et la collaboration tout au long du processus de développement des logiciels afin d’obtenir le meilleur résultat possible.
  • L’automatisation: le recours à des processus automatisés est un concept fondamental. En tirant parti de l’automatisation, DevOps est conçu pour optimiser la productivité, prévenir les défauts, repérer les vulnérabilités et créer de la cohérence. Mais attention cependant, à ne pas aller trop vite : l’automatisation des mauvais processus peut vite entraîner le chaos et déstabiliser l’organisation.
  • La mesure: il s’agit de l’idée d’une amélioration continue du programme grâce à différents indicateurs et mesures.
  • Le partage: le partage des outils et du code avec les membres de l’équipe permet de mettre en œuvre de nouvelles fonctionnalités.

Ces quatre piliers permettent de profiter de deux avantages majeurs :

  • Une image dynamique 

Les utilisateurs reçoivent fréquemment de nouvelles fonctionnalités et des mises à jour. Indirectement, cela leur confirme que votre entreprise est réactive et professionnelle. En un mot, elle se démarque de la concurrence.

  • Une meilleure réactivité

Grâce à une intégration en continu, les erreurs ou les vulnérabilités peuvent être repérées et corrigées plus rapidement.

Même si l’intégration continue doit être une pratique récurrente, il n’empêche : soumise à une forte pression pour accélérer les cycles de développement et améliorer l’assurance qualité, une équipe DevOps peut aussi être à l’origine, directement ou indirectement, de failles de sécurité.

En effet, les cycles de développement d’aujourd’hui ne laissent pas (toujours) le temps de s’arrêter aux tests de vulnérabilité avant de livrer de nouveaux produits et fonctionnalités à l’entreprise. On peut le constater régulièrement avec la livraison d’une nouvelle version d’un logiciel qui laisse des « portes ouvertes ».

Cela peut entraîner des fuites de données (avec les conséquences que l’on ne peut plus sous-estimer depuis l’entrée en application du RGPD…), une usurpation d’identité, la possibilité d’infiltrer un Système d’information (SI)…

Les raisons peuvent être multiples : mauvais code, serveurs ou conteneurs mal configurés…

Communiquer, vous ferez en permanence !

De là à estimer que la démarche DevOps sacrifie la sécurité au nom de l’innovation et du business, il n’y a qu’un pas que certains franchissent rapidement. Comment en effet déployer des mises à jour prioritaires pour corriger des vulnérabilités lorsque l’équipe DevOps doit absolument terminer un projet dans la journée ?

Cette question doit être posée. Et une solution doit être rapidement trouvée, car tout conflit entre les deux métiers pourrait entraîner des retards dans chacun des processus.

Comment s’en sortir ? La réponse : déployer une approche moderne de la sécurité basée sur l’automatisation (ça tombe bien, c’est l’un des 4 piliers du DevOps). C’est le but du DevSecOps dont l’objectif est d’amener les développeurs à réfléchir davantage aux principes (dont le Privacy by design afin d’être justement en conformité avec le Règlement général sur la protection des données – RGPD) et aux normes de sécurité au fur et à mesure qu’ils avancent dans un projet.

Il existe des outils permettant :

–           d’analyser ses configurations à la recherche des meilleures pratiques de sécurité ;

–           d’automatiser des tests (par exemple, Gauntlt, un framework gratuit) ;

–           de scanner le code pour trouver des vulnérabilités potentielles ou identifier et prévenir les problèmes de sécurité en temps réel (Veracode ou Contrast Security par exemple).

Là aussi, la communication reste primordiale. La collaboration entre les équipes DevOps et celle de la sécurité doit être permanente et transparente. Pour réussir à intégrer la sécurité dans le processus DevOps, les DSI et les développeurs doivent travailler ensemble et établir une responsabilité partagée.

Ensemble sécurisons vos données

Dans la même catégorie