Comment implanter une culture DevSecOps ? En alignant automatisation, IA, collaboration et cybersécurité

Gouvernance

Pourquoi le DevSecOps semble désormais incontournable aux yeux des DSI

Par La rédaction, publié le 02 février 2023

Selon une étude de Dynatrace, la convergence de l’observabilité et de la sécurité est nécessaire pour mettre à profit l’innovation et le cloud en limitant les risques. Mais, plus globalement, l’étude montre qu’une démarche DevSecOps devient de plus en plus incontournable.

Commanditée par Dynatrace, une enquête mondiale menée auprès de 1300 DSI et professionnels de l’IT impliqués dans la gestion DevOps pose ouvertement la question de la sécurité dans le contexte de la transformation digitale en cours.

Baptisée « 2023 Global CIO Report – Convergence de l’observabilité et de la sécurité : pour une innovation plus rapide et plus sécurisée dans le Cloud », cette enquête souligne la difficulté croissante pour les équipes IT de maintenir la fiabilité et la sécurité des logiciels dans le contexte actuel.

« Il est difficile pour les équipes d’accélérer leur rythme d’innovation tout en maintenant les standards les plus élevés en matière de qualité et de sécurité », reconnaît Bernd Greifeneder, fondateur et CTO de Dynatrace.

La fréquence des mises à jour logicielles et la complexité des environnements cloud démultiplient les risques, en particulier celui de mettre en production des vulnérabilités non-détectées.

Les analystes ont questionné les professionnels sur les mesures prises pour pallier ou, à minima contrôler, ces risques.

À LIRE AUSSI :

L’étude montre que la mise en œuvre d’une chaîne DevOps a notablement contribué à accélérer les temps de livraison de nouvelles versions et d’innovations. À l’échelon mondial, 78% des entreprises interrogées déploient des mises à jour toutes les 12 heures ou moins et 20% des entreprises déploient des mises à jour toutes les minutes !

Mais cette rapidité d’innovation impose des compromis, notamment en termes de qualité et sécurité. Typiquement, 55% des DSI confirment que leurs équipes font de tels compromis. Plus inquiétant encore, 41% des DSI sacrifient la qualité du code ou l’expérience utilisateur sous la pression de réactivité des métiers et 34% des DSI reconnaissent sacrifier la sécurité du code sous cette pression.
Seulement 28% des DSI sont certains que les applications et leurs mises à jour sont systématiquement testées contre les vulnérabilités connues avant leur entrée en production.

Sans surprise, la plupart des DSI et DevOps (94%) mettent aujourd’hui en place des processus DevSecOps, pour échapper à ces compromis et remettre la sécurité en première place. Une démarche indispensable mais complexe parce qu’au-delà des outils, elle passe par un changement culturel pour les équipes.

La convergence de l’observabilité et de la sécurité et l’IA sont également mobilisées (mais l’enquête est là quelque peu orientée puisqu’on est ici au cœur du métier de Dynatrace). Si cette dernière sert souvent à automatiser nombre de tâches, 70 % des DSI déclarent avoir besoin de gagner en confiance quant à la précision des décisions d’IA avant d’automatiser leur pipeline de CI/CD.

Quid en France ?

L’intérêt de cette étude est de présenter des résultats par pays. On apprend ainsi qu’en France :

>> 100% des organisations déclarent que la transformation digitale s’est accélérée au cours des 12 derniers mois.

>> 66% des organisations déploient des mises à jour logicielles en production au moins toutes les 12 heures, et 47% au moins une fois toutes les deux heures.

>> 100% des équipes DevOps passent près d’un tiers de leur temps sur des tâches manuelles impliquant de détecter des vulnérabilités et des problèmes de qualité.

>> 38% des organisations sont obligées de faire des compromis entre la qualité, la sécurité et l’expérience utilisateur, pour répondre au besoin de transformation rapide.

>> 83% des DSI affirment que la convergence des pratiques d’observabilité et de sécurité s’avèrera critique pour bâtir une culture DevSecOps, et 91% déclarent que le recours accru à l’AIOps sera essentiel pour étendre ces pratiques.

Au final l’étude montre que de plus en plus de DSI ressentent aujourd’hui une urgence à automatiser les pipelines de livraison pour permettre parallèlement une meilleure collaboration entre les équipes DevOps et les équipes de sécurité. Une telle automatisation accrue permet en effet d’alléger la pression des métiers sur les équipes, d’aligner équipes DevOps et Sécurité dans une même culture DevSecOps et d’éviter d’avoir à faire des compromis en qualité logicielle, expérience utilisateur et cybersécurité.

À LIRE AUSSI :

Dans l'actualité