Tech.Rocks

Guide pragmatique pour la mise en œuvre d'une stratégie DevSecOps efficace

Publié le 18 avril 2023

À une époque de cycles de développement de logiciels plus courts et de risques accrus de vulnérabilités, l'intégration de la cybersécurité dans les processus de développement est cruciale. Cet article propose une approche pragmatique pour sensibiliser, répondre aux préoccupations et mettre en œuvre un programme de sécurité sur mesure au sein de votre entreprise.


Contributeurs du groupe de travail “DevSecOps Tech.Rocks” :

• Aroua Biri, responsable du groupe de travail “DevSecOps” et fondatrice de Frcyber-WeeSec
• Adnan Aita, CTO de Sharelock
• Camille Marsigny, Information Security Manager chez Blablacar
• David Peltier, Ingénieur Sécurité chez Decathlon
• Davy Kiala, Lead developer chez CASDEN Banque Populaire
• Jean-Baptiste Beuzelin, Co-fondateur de Margoo.fr et de Coton.dev
• Ludovic Eschard, DevSecOps Team Lead, Orange France
• Clarel Rakotondrahaja, CTO chez Sapheer et Directeur de la Stratégie et du Développement chez HaiRun Technology
• Stéphane Loesel, Co-fondateur et CTO de Antidot
• Tobias Rohrle, Solutions Engineer, Cloudflare



Quelle est la définition du DevSecOps (Développement, Sécurité, Opérations) ?

En se basant sur la définition du Gartner, nous pouvons dire que c’est l'intégration de la sécurité dans les différentes phases de développement ainsi que dans les opérations de la manière la plus transparente possible. Idéalement, cela se fait sans réduire l'agilité ou la vitesse des développeurs, ni les obliger à quitter leur environnement de développement.

Pourquoi adopter une approche DevSecOps ?

Pour suivre le rythme de l'évolution rapide du paysage technologique et des risques accrus, il est essentiel d'intégrer la sécurité dans les processus de développement et d’opérations. Cette approche holistique améliore non seulement la qualité, l'efficacité et la rentabilité de vos applications, mais garantit également leur résilience face aux menaces.

Comment responsabiliser vos équipes de manière pragmatique ?

Vous pouvez tenir les équipes de développement, d'opérations et de sécurité responsables des produits qu'elles déploient en production en leur fournissant une formation pratique, des processus et des outils. Les champions de la sécurité (Security Champions), le responsable de la sécurité de l'entreprise et les sponsors influents comme le CEO et le CTO peuvent piloter et soutenir ce programme. Dans le cas d’une entreprise sans équipe ni personne dédiée à la sécurité, il peut être intéressant de former et rajouter cette casquette à un membre de l’équipe technique.

Comment mettre en place un programme Security Champions ?

Les champions de la sécurité sont des membres de l'équipe de développement ou des opérations ayant un intérêt pour la cybersécurité.
Pour recruter des champions de la sécurité au sein de votre entreprise, lancez des campagnes de communication interne et organisez des conférences et des présentations informatives.
Une fois identifiés, intégrez ces champions dans une communauté dédiée à relever les défis de sécurité.
Formez-les aux meilleures pratiques et outils de sécurité et organisez des réunions régulières pour discuter des défis et des progrès. Encouragez les champions de la sécurité à partager leurs connaissances avec le reste de l'équipe.
Vous pouvez surveiller les progrès à l'aide d'indicateurs de performance clés et de tâches spécifiques liées à la sécurité.

Comment sensibiliser vos équipes aux enjeux du DevSecOps ?

Vous pouvez clarifier les enjeux de la cybersécurité et fournir des exemples concrets pour aider les équipes à comprendre l'importance de la sécurité dans leur travail. Organisez des ateliers, des événements internes Capture The Flag (CTF) ou des réunions régulières pour favoriser la confiance et la collaboration entre les différentes équipes.

Comment adapter l'approche DevSecOps à votre entreprise ?

Vous pouvez tenir compte des besoins uniques de votre entreprise lors de l'intégration de la sécurité dans les processus de développement. Trouvez un équilibre entre les exigences de sécurité et les contraintes de développement. Mettez en œuvre des mécanismes d'amélioration continue pour cultiver une culture de sécurité durable et efficace.

Comment favoriser la collaboration entre les différentes équipes ?

Éliminez les "silos" entre les équipes de développement, d'opérations et de sécurité pour soutenir une approche DevSecOps efficace. Établissez des groupes de travail composés de développeurs et d'opérationnels et organisez des réunions régulières pour partager les meilleures pratiques et les progrès. De plus, facilitez le contact direct entre les équipes pour rationaliser la résolution des problèmes de sécurité.

Comment intégrer la cybersécurité dans les processus de développement ?

L'intégration d'outils et de technologies est essentielle pour soutenir le processus DevSecOps et améliorer la sécurité du logiciel.
Voici quelques outils et technologies clés qui peuvent être utilisés :

Outils d'automatisation du build et du déploiement tels que Jenkins, GitLab CI/CD et Travis CI, pour intégrer les contrôles de sécurité tout au long du processus de développement.

Outils de gestion de la configuration tels que Terraform, Puppet, Ansible et Chef pour automatiser les processus de déploiement et garantir la conformité des configurations.

Outils de tests de sécurité tels que OWASP ZAP, Burp Suite et Metasploit, pour détecter les vulnérabilités du logiciel.
Outils de gestion des accès tels que Keycloak, Okta et Auth0 pour assurer la sécurité des phases d'authentification et d’autorisation des accès

Outils de surveillance et de journalisation tels que Prometheus et Loki, pour surveiller les activités et détecter les incidents de sécurité.

L'intégration de ces outils et technologies peut aider les équipes DevSecOps à mettre en œuvre les contrôles de sécurité de manière automatisée et à garantir la sécurité du logiciel tout au long de son cycle de vie.

Comment impliquer le management dans la démarche DevSecOps ?

Le soutien de la direction est essentiel pour piloter la mise en œuvre d'une approche DevSecOps. Engagez les managers et les dirigeants dans les discussions sur la sécurité et assurez-vous qu'ils comprennent les enjeux et les avantages de cette approche. Le soutien de la direction consolide les bases du changement et aide à identifier les personnes les plus motivées pour devenir des champions de la sécurité.



En conclusion, adopter une approche DevSecOps est essentiel pour assurer la sécurité et la résilience de vos applications tout en naviguant sur des cycles de développement de plus en plus courts. En responsabilisant les équipes, en offrant une formation pragmatique et en favorisant la collaboration entre les parties prenantes, vous pouvez intégrer de manière transparente la cybersécurité dans votre entreprise et protéger vos données et vos utilisateurs.