Organisée par IT for Business le 21 juin dernier, une matinale a été l’occasion de faire la lumière sur une tendance émergente des systèmes d’information. La sécurité entre dans le quotidien de tous les collaborateurs de la DSI.

« Les entreprises sont quasiment toutes attaquées quotidiennement. Le Devsecops est une réaction d’abord venue plutôt des équipes. C’est aussi aujourd’hui une vraie question pour de nombreuses directions », a souligné Yann Crumeyrolle, architecte Cybersécurité du Groupe Axa pour démarrer cette Matinale. Si l’outillage est indispensable, il ne suffit pas.

« Depuis 2018, nous misons sur l’humain. Chaque équipe de développement compte un collaborateur pivot pour la sécurité », a ajouté Yann Crumeyrolle. L’intervention suivante a permis de zoomer sur un point crucial. Général Manager de Portofolio Consulting Group, Philippe Albrecht a souligné que cette démarche loin de représenter un coût, pouvait aussi générer des gains : « Nous ne sommes qu’aux prémices du DevSecOps. Mais les premiers indicateurs sont positifs. Par exemple, une baisse de 30% de tickets vers l’équipe d’incident management ». Antoine Habert, IT Ops chez Younited Credit, a ensuite expliqué comment une approche Security by design permettait de mieux identifier les vulnérabilités. 

Le décor était planté. Antoine Habert, rejoint par Jérôme Saiz, consultant d’Opfor Intelligence et par Julien Tanay de Christian Dior Couture, ont explicité une problématique sensible : Comment limiter l’impact de la sécurité sur le continuous delivery ? « Il s’agit d’abord d’adopter une démarche d’acculturation, d’introduire des pratiques et des outils dans les équipes de développement », a décrit Julien Tanay. Antoine Habert a confirmé la dimension du culturel dans cette démarche, auprès des équipes de dev comme de run. Au vu de ses expériences de consultant, Jérôme Saiz a ajouté : « Avec un passage vers des applications containerisées, la sécurité s’intègre dans les processus les plus amonts ». L’intervention suivante, de Thomas Barroco, Senior Manager chez Harmonie Technologie, a confirmé cette tendance : « Il est nécessaire d’aligner les acteurs projets et sécurité avec les mêmes modèles de delivery », a-t-il souligné. La première partie de la matinée s’est terminée avec la présentation d’une étude par Guillaume Alex de Micro Focus : « Aujourd’hui, 32% des entreprises ont mis en place le Devsecops de façon systématique, 11% prévoient de le faire en 2019 ». Une démarche qui s’accélère au vu de la montée en puissance des attaques. « Historiquement traitée à part, la sécurité doit devenir la préoccupation de tout le monde, et d’abord celle des développeurs », a résumé Guillaume Alex. 

Après une pause bien méritée, les débats ont repris avec les interventions de Christophe Jauffret, de Nutanix, et David Allaman, de Treeptik. « Les infras sont devenues complexes, notamment avec le cloud. Mettre en place nativement des mécanismes pour automatiser les tâches d’administration, de déploiement … est indispensable ». La solution de Nutanix peut prendre en charge toutes les facettes, matérielle, hyperviseur, gestion des infra, multi-cloud, réseau. Une démarche mise en œuvre chez Treeptik. L’intervention de Matthieu Fronton, Head of DevOps, branche numérique de La Poste a également porté sur la nécessaire simplicité pour mettre en place du DevSecOps. « Intégrer dans les programmes seulement quelques lignes de code pour sécuriser, par exemple, le téléchargement du même document », a-t-il expliqué. Franck Bonnassieux, CTO de Homeserve, est ensuite revenu sur la nécessaire mutation culturelle et organisationnelle :
« Il ne s’agit pas de révolution mais d’évangélisation et d’intégration dans le quotidien. De nombreux canaux sont utilisés comme un point hebdomadaire sur les incidents de sécurité pour tous ». Régis Allègre, Associate Director chez Accenture a renchéri : « Il existe souvent un mur de confusion entre sécurité et développement. Il s’agit d’abord de recentrer les équipes autour du projet avec un partage des objectifs. Et d’automatiser les processus de livraison logiciel et de déploiement ». La table ronde de clôture a résumé cette mutation en cours. Matthieu Fronton a souligné : « il faut laisser la main et abandonner une gouvernance trop forte pour que les développeurs prennent eux-mêmes en charge cet aspect ». Maziar Dowlatabadi, directeur adjoint du numérique, en charge de la technique chez Radio France a, de son côté, insisté sur le partage : « Tous les mardis, les responsables d’équipes, ops et dev, partagent les incidents pendant 15 minutes ». Plus de doute, le DevSecOps est en passe de devenir réalité.

Découvrez en vidéo les témoignages de quelques participants :

Ils ont dit :

Guillaume Alex, Micro Focus : « Aujourd’hui, 32% des entreprises ont mis en place le DevSecOps de façon systématique, 11% prévoient de le faire en 2019 »

Christophe Jauffret, Nutanix : « Les infras sont devenues complexes, notamment avec le cloud. Mettre en place nativement des mécanismes pour automatiser les tâches d’administration, de déploiement est indispensable »

Régis Allègre,Associate Director chez Accenture : « Il existe souvent un mur de confusion entre sécurité et développement. Il s’agit d’abord de recentrer les équipes autour du projet avec un partage des objectifs. Et d’automatiser les processus de livraison logiciel et de déploiement ».

Thomas Barroco,senior Manager chez Harmonie Technologie :
« Il est nécessaire d’aligner les acteurs projets et sécurité avec les mêmes modèles de delivery »,