Virgile Delécolle et Guillaume Alex, respectivement DevOps Presales Manager France & BeLux et DevSecOps Evangelist au sein de Micro Focus, évoquent
le premier observatoire DevSecOps réalisé par leur société auprès des directions informatiques des entreprises françaises début 2019 et partagent leurs visions de cette pratique consistant à intégrer la sécurité dans l’approche DevOps.

Votre société, Micro Focus, a récemment réalisé un observatoire auprès de plus de 2000 professionnels sur la thématique DevSecOps, pouvez-vous nous en dire plus ?

Virgile Delécolle : Oui, nous avons mené le premier observatoire DevSecOps début 2019 car nous avons jugé pertinent de mesurer l’état d’adoption de cette pratique dans les entreprises françaises. Notre portefeuille logiciel supportant notamment les approches DevOps, dans le cadre de nos échanges avec les directions informatiques, nous constatons régulièrement que la sécurité n’est pas automatiquement incluse dans la transformation des cycles de développement logiciel. À une époque où les attaques sont de plus en plus nombreuses, nous avons donc tenté de mieux comprendre les enjeux et les défis des directions informatiques sur cette thématique vitale pour accompagner la transformation numérique des entreprises.

Quels sont les principaux enseignements de cette étude ?

Virgile Delécolle : En synthèse, seul 1/3 des répondants intègre réellement la sécurité de bout en bout dans leurs cycles de développement logiciel. Le manque de ressources, de compétences et de budget sont les principaux freins à l’adoption d’une approche DevSecOps. En revanche, plus de 80% des répondants légitiment cette façon de faire et près de 50% prévoient d’investir sur le sujet à court ou moyen terme.

Guillaume Alex : Avec du recul, on peut raisonnablement considérer que les bons élèves sont principalement ceux qui avaient déjà intégré la sécurité à leur méthodologie de développement avant l’avènement de DevOps : ils l’ont donc naturellement incluse dans la transition vers ces nouvelles pratiques. Pour les autres, l’enjeu réel est de réaliser cette évolution rapidement et efficacement, c’est-à-dire d’intégrer la sécurité aux processus DevOps en place de façon harmonieuse et dans un délai court sur un marché où les ressources sont rares.

Quels sont, d’après vous, les facteurs clés de succès d’une approche DevSecOps ?

Virgile Delécolle : Tout d’abord, il apparaît évident que le directeur informatique à qui rapportent toutes les parties prenantes (Dev, Sec et Ops) doit donner l’impulsion. En effet, au sein des directions informatiques, la sécurité est souvent sous la responsabilité d’une entité spécifique de taille réduite qui, de ce fait, a plutôt pour rôle de définir un schéma directeur qui doit ensuite être appliqué par les équipes études et production qui ne voient pas toujours cela d’un bon œil. Il faut donc casser les silos entre les différentes organisations et favoriser leur collaboration. Mais il faut pour cela que la sécurité devienne l’affaire de tous.

Guillaume Alex : Pour ce qui est d’intégrer la sécurité au plus tôt dans le cycle de vie, l’approche
« Security by Design » est à privilégier puisqu’elle a pour vocation de « penser » la sécurité dès les phases de conception de l’application en impliquant des représentants Dev, Sec et Ops. Concernant les facteurs clés de succès d’une approche DevSecOps, il est bien question d’exploiter les principes DevOps en y ajoutant la dimension sécurité. Je citerai donc principalement : collaboration, automatisation, visibilité et amélioration continue. De la même façon, le plan de transformation doit comporter 3 axes : les personnes, les processus et les outils qui permettront d’implémenter la chaîne DevSecOps.

Concrètement, comment Micro Focus peut aider les entreprises à faire de DevSecOps une réussite ?

Virgile Delécolle : Tout d’abord, forts de leur expérience sur cette thématique, nos services professionnels organisent des ateliers avec les différents acteurs clés afin de comprendre leur contexte, leurs objectifs et de définir une trajectoire potentielle vers le DevSecOps. D’autre part, notre portefeuille logiciel supporte les approches DevSecOps et ce, à l’échelle de l’entreprise. Micro Focus favorise une approche DevSecOps et permet de livrer, exploiter et sécuriser des applications de qualité plus rapidement. A titre d’exemple, ALM Octane offre un référentiel unique intégré avec les outils de développement et de CI/CD permettant de gérer de manière collaborative les phases de conception, de tests et d’intégration continue et d’avoir une visibilité complète sur la qualité des livraisons. Évidemment, il est bien question de qualité au sens large, c’est-à-dire incluant la sécurité.

Guillaume Alex : En complément, nous faisons partie des leaders AST (Application Security Testing) avec notre suite Fortify qui facilite la recherche de vulnérabilités dans le code source (SAST pour Static Application Security Testing) et des failles sur les applications et API Web via des tests de pénétration (DAST pour Dynamic Application Security Testing) et aide les Dev à les corriger. Ces logiciels s’intègrent avec l’écosystème de développement et CI/CD mais également avec ALM Octane. Enfin, il est intéressant de mentionner que notre suite Fortify inclut également une solution de RASP (Runtime Application Self-Protection) permettant de protéger les applications en production. L’implémentation de ce logiciel peut être particulièrement intéressante dans le cadre du démarrage d’une approche DevSecOps : il détecte et bloque en temps réel les attaques sur une application exposant des failles. Ainsi, les développeurs disposent du temps nécessaire pour scanner le code source et corriger les vulnérabilités mises en évidence.

Comptez-vous lancer une nouvelle édition de cet observatoire ?

Virgile Delécolle : Il encore trop tôt pour le dire. Cependant, concernant DevSecOps en France, il est certainement préférable d’attendre au moins 2 ans pour observer des variations significatives. D’ici là, nous restons mobilisés pour aider nos clients à faire de DevSecOps un succès. Nous vous invitons par ailleurs à découvrir nos solutions, à les télécharger et à les essayer gratuitement sur notre site web www.microfocus.com.

Guillaume Alex,
DevSecOps Evangelist
Micro Focus

Guillaume compte plus de 20 ans d’expérience dans l’IT principalement en tant que consultant chez des éditeurs anglo-saxons comme Mercury Interactive, HP et Hewlett Packard Enterprise. Passionné par la technologie, il a eu l’opportunité d’exercer différentes fonctions telles que développeur, chef de projet et consultant technique pour des entreprises de toutes tailles. Aujourd’hui avant-vente chez Micro Focus, il s’attache à aider ses clients à optimiser leurs processus DevSecOps.

Virgile Delécolle
DevOps Presales Manager France & BeLux
Micro Focus

Agiliste de la première heure en France, Virgile a, après une première expérience de développeur dans l’industrie ferroviaire, rejoint l’édition logicielle chez Peregrine en tant que testeur et coach. Grâce à son approche pragmatique de cette révolution méthodologique, il a su faire évoluer la R&D française tout en continuant de suivre les évolutions de ce courant. Aujourd’hui, il est certifié SAFe DevOps et met ses compétences au service des clients Micro Focus dans un rôle de Manager Avant-Vente tout en restant en contact permanent avec la R&D pour échanger et travailler sur les roadmaps produits.