Le management de la sécurité avec le DevSecOps

Le DevSecOps est au cœur d’une révolution sur notre manière d’aborder le management de la sécurité de l’information face aux nouvelles technologies. Son succès commence par une organisation bien pensée.

La mise en place du DevSecOps au sein d’une entreprise amène une modification de la manière de travailler avec l’apparition de nouveaux processus et l’utilisation de nouveaux outils. Comment s’assurer de l’efficacité et du bon déroulement de cette transformation s’il n’est pas possible de la mesurer ?

La mise en place de l’agilité et du DevOps change beaucoup de pratiques, d’outils, demande de nouvelles compétences et organisations. Dans ce contexte mouvant, la sécurité doit trouver sa place, c’est le DevSecOps ! Cet article ne prétend pas donner de solutions miracles, mais propose plusieurs pistes et retours d’expérience. Le lecteur pourra y piocher des idées et voir comment elles peuvent être réutilisées dans le contexte de son entreprise.

Depuis la rigidité du modèle Waterfall, où la sécurité des applications était souvent une réflexion tardive post-développement, l'évolution s'est dirigée vers la méthodologie Agile. Aujourd'hui, non seulement la sécurité des applications est intégrée dès le départ à travers les tests, mais elle se fond également dans des approches plus avancées comme le DevSecOps et l'intégration continue, reflétant une transition vers une conception sécurisée, agile et automatisée.

Selon Sonatype, depuis décembre 2021, 29 % des téléchargements de Log4J le sont sur des versions vulnérables à Log4Shell. Cette statistique démontre l’importance pour les entreprises de renforcer la prise en compte de la sécurité dans les équipes de développement. Comment la mise en place d’un programme de security champions peut-elle améliorer l’intégration de la sécurité au plus tôt dans les projets ?

Selon le dernier rapport de Cybersecurity Ventures [CYBERV_RAP], les coûts mondiaux liés à la cybercriminalité devraient atteindre les 10,5 trillions de dollars (9,6 trillions d’euros) par an d’ici 2025. Ces montants augmentent chaque année en raison de l'immaturité de nos systèmes, de l'industrialisation et de la sophistication croissante des attaques. Comment l’Union Européenne (via l’ENISA) peut-elle assurer la sécurité de ses entreprises et citoyens ? Le DevSecOps peut-il concrètement aider à cette sécurisation ?

La prise en compte de la sécurité au plus tôt lors de la construction d’un produit est essentielle, mais pas suffisante pour répondre aux exigences du CRA. Comment intégrer la sécurité dans l’usine logicielle puis en phase de run lorsque le produit est en production et/ou déployé chez les clients ?

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?