Définition du DevSecOps

On voit apparaître de plus en plus de présentations d’acteurs de la sécurité des infrastructures qui glissent le mot DevSecOps partout en expliquant qu’il s’agit du DevOps appliqué à la sécurité, or ce mot n’a jamais été prévu pour ça.

Même si le marketing américain est friand de l’expression « A nice story doesn’t have to be true » et à moins de considérer que les appliances sécurité ne font pas partie intégrante de l’infrastructure réseau, appliquer les pratiques DevOps à ces solutions revient à faire du NetDevOps.

Selon la définition de Gartner, NetDevOps implique l’application des concepts DevOps CI/CD (Continuous Integration / Continuous Delivery-Deployment) aux activités de mise en réseau.

Le mot DevSecOps n’a rien à voir avec du SecDevOps dans lequel on aurait changé « Sec » de place pour faciliter la prononciation.

N’en déplaise aux conservateurs qui s’accrochent désespérément aux vieilles pratiques, l’approche DevOps s’impose dans tous les domaines et avec elle le « tout logiciel ». Le risque qui a été identifié, c’est que l’approche DevOps soit pratiquée par des personnes qui n’en ont pas toujours la compétence et qui prennent des raccourcis en mettant de côté certains sujets, comme la sécurité dans les implémentations. C’est la raison pour laquelle le mot DevSecOps a été créé : rappeler à tous que la sécurité doit faire partie intégrante de la pratique DevOps avec des bonnes pratiques de développement, mais aussi des tests automatisés à tous les niveaux des différentes implémentations.

L’objectif de l’approche DevOps est d’aboutir à la création de produits de meilleure qualité, délivrés par des équipes plus efficaces, qui collaborent ensemble dans une approche d’amélioration continue, le tout en livrant des nouveautés plus fréquemment et plus rapidement. Cette approche permet à l’organisme d’être plus pertinent que ce soit pour rendre des services ou prendre des parts de marché à la concurrence. La chaîne CI/CD est souvent mise en avant pour décrire les pratiques qui permettent d’accélérer le rythme de déploiement des applications. Dans ces descriptions, il y a un sous-entendu, pour tous les professionnels du domaine, c’est la sécurité et plus généralement la sûreté de fonctionnement. Si celle-ci n’est pas prise en compte tout au long de la démarche, on perd tout simplement le bénéfice du DevOps. Une approche dans laquelle, les contrôles de sécurité seraient mis en bout de chaîne, ralentirait le processus DevOps qui se trouverait bloqué pour des raisons de contrôle avant déploiement.

DevOps vs DevSecOps
DevOps vs DevSecOps

Le DevSecOps n’est qu’une continuité de ce que le DevOps a amorcé, mais en rappelant à tous que la sécurité n’est pas une option et qu’elle doit faire partie intégrante de la démarche.

Le rapport avec des appliances de sécurité comme les Firewalls ? Aucun lien direct !

Pour appliquer l’approche DevOps aux Firewalls, on fait du NetDevOps et pour le faire efficacement et dans les règles de l’art, on intègre les notions de sécurité tout au long des cycles de développement en faisant du NetDevSecOps pour éviter d’engendrer de nouvelles failles de sécurité. En d’autres termes, les développeurs sont aussi responsables de la sécurité.