Tech.Rocks

L'automatisation au service de la Sécurité et de la Conformité dans le DevSecOps

Publié le 6 juillet 2023


Le DevSecOps offre une approche intégrée du développement logiciel, de la sécurité et des opérations. Au cœur de cette pratique se trouve l'automatisation, un élément clé qui propulse l'efficacité et la sécurité des processus. Dans cet article, nous plongeons au cœur de l'automatisation dans le contexte du DevSecOps, en explorant son rôle essentiel et en répondant à plusieurs questions cruciales. Nous évoquons comment l'automatisation améliore la sécurité, surmonte les défis potentiels, contribue à maintenir la conformité et favorise la communication et la collaboration entre les équipes. 


Contributeurs du groupe de travail “DevSecOps Tech.Rocks” :

  • Aroua Biri, responsable du groupe de travail “DevSecOps” et fondatrice de Frcyber-WeeSec

  • Adnan Aita, CTO de Sharelock

  • Camille Marsigny, Information Security Manager chez Blablacar

  • David Peltier, Ingénieur Sécurité chez Decathlon

  • Davy Kiala, Senior Software Engineer & Manager chez SNCF Connect & Tech

  • Ludovic Eschard, DevSecOps Team Lead chez Orange France

  • Stéphane Loesel, Co-fondateur et CTO de Antidot

  • Thibault Lengagne, Head of Tech - Cybersecurité de Padok

  • Tobias Rohrle, Solutions Engineer chez Cloudflare


Quels types d'automatisation peut-on intégrer dans un environnement DevSecOps ?

Plusieurs types d'automatisation peuvent être intégrés dans un environnement DevSecOps. Ils incluent le security & privacy by design, les dependency checks avec comme exemple Dependabot, le SAST (Static Application Security Testing) avec comme exemple SonarQube, la détection de secrets avec comme exemple Gitleaks et les tests unitaires. Aussi, plus spécifiquement du côté des Ops, cela inclut l’analyse du code de l’IaC ( Infrastructure as Code) avec comme exemple CheckOV, le CSPM (Cloud security posture management), le CWPP (Cloud Workload Protection Platform) et les tests de charge avec comme exemple Siege.

Il y a aussi l'automatisation des actions en réponse aux résultats des scans à utiliser avec précaution, telle que la création de pull request pour mettre à jour une dépendance. Cependant, il est important de comprendre que l'automatisation ne doit pas remplacer le travail humain, mais plutôt l'aider. Ainsi, il faut être prudent en automatisant, en veillant à maintenir un équilibre entre l'effort investi dans l'automatisation et les gains obtenus. L'objectif est d'optimiser les processus sans introduire de nouveaux risques ou de complexité inutile.

Comment l'automatisation contribue-t-elle à améliorer la sécurité dans le DevSecOps ?

L'automatisation améliore la sécurité en garantissant que les contrôles de sécurité sont effectués systématiquement et en continu. Cela réduit la possibilité d'erreurs humaines et permet une détection précoce des vulnérabilités, ce qui permet de les corriger avant qu'elles n'aient un impact. De plus, l'automatisation aide à augmenter la visibilité des problèmes de sécurité, facilite le travail des développeurs et réduit le coût associé.

Comment pouvons-nous automatiser les tests de sécurité dans le pipeline DevSecOps ?

Les tests de sécurité peuvent être automatisés à plusieurs niveaux du pipeline DevSecOps. La fourniture de templates de pipeline conjuguée à l’usage de Codeowners permet de simplifier la mise à disposition des équipes de briques de tests de sécurité à utiliser. Il est important d'éduquer les équipes sur la manière d’utiliser les résultats de ces tests et de les inclure dès le début du cycle de développement. Aussi, il est nécessaire de veiller à ce que les développeurs restent le plus possible dans leur environnement de travail.

Quels sont les défis potentiels liés à l'automatisation dans DevSecOps et comment les surmonter ?

Parmi les défis potentiels, on peut citer la maintenance des outils, la gestion des alertes et la couverture de tous les aspects de sécurité. Pour surmonter ces défis, il faut bien choisir les outils, adapter les règles de sécurité en fonction de la maturité du code (legacy vs nouveau code) et faire en sorte que les équipes adhèrent à l'utilisation des outils notamment en intégrant ces sujets lors de la phase d’onboarding des développeurs et des Ops.

Comment l'automatisation peut-elle aider à maintenir la conformité dans un environnement DevSecOps ?

L'automatisation dans un environnement DevSecOps joue un rôle crucial en soutenant la conformité à plusieurs niveaux. Elle permet une vérification proactive des problèmes de conformité grâce à l'intégration d'outils spécialisés et sécurise les processus tout en contrôlant strictement l'accès aux pipelines de déploiement. Par la réalisation de tests end-to-end systématiques, elle assure une performance constante et conforme du système. Aussi, elle simplifie et accélère le processus de reporting, ce qui facilite la gestion des contrôles réglementaires et des audits.

Comment l'automatisation peut-elle faciliter la communication et la collaboration entre les équipes de développement, de sécurité et des Ops ?

L'automatisation dans un environnement DevSecOps facilite la communication et la collaboration en alertant les équipes de tout problème potentiel dès qu'il se présente. Cela assure une résolution rapide et efficace. Elle encourage également une vision partagée et l'utilisation d'outils compréhensibles pour tous, rendant ainsi les constats plus transparents et les erreurs plus faciles à comprendre et à corriger.

En utilisant des KPI ou des OKR pour suivre et mesurer les performances, l'automatisation aide à rendre les échanges plus fluides et plus factuels, réduisant ainsi les malentendus et améliorant la collaboration. De plus, l'automatisation peut faciliter la mise en place de projets partagés et encourager le partage de connaissances, instaurant une saine compétition entre les équipes et stimulant l'innovation et l'amélioration continue.

Enfin, en permettant une animation partagée autour des mêmes KPI ou OKR, l'automatisation aide à aligner toutes les parties prenantes, des équipes opérationnelles au CISO, CTO et CEO, favorisant ainsi une meilleure compréhension mutuelle et une prise de décision plus efficace.



En conclusion, l'automatisation s'impose comme une composante clé du DevSecOps. Elle permet d'accroître l'efficacité de la livraison de logiciels, en systématisant les contrôles de sécurité et en assurant une détection et une correction précoce des vulnérabilités. Elle joue un rôle fondamental dans le maintien de la conformité, par une vérification proactive des problèmes, un contrôle renforcé des processus et une transparence accrue. De plus, elle favorise une communication et une collaboration fluides entre les différentes équipes, par des alertes précoces, des outils partagés et des indicateurs de performance clairs.

Bien sûr, l'automatisation comporte ses propres défis, tels que la maintenance des outils et la gestion des alertes, mais une mise en œuvre judicieuse permet de les surmonter. En définitive, l'automatisation, lorsqu'elle est correctement intégrée dans l'environnement DevSecOps, est un outil puissant qui peut aider les entreprises à optimiser leurs opérations, tout en garantissant la sécurité et la conformité de leurs produits logiciels.