Corentin Badot-Bertrand, DevOps Engineer – Claranet
La croissance des cyberattaques fait peser une forte pression sur les entreprises, qui se doivent de déployer une stratégie de cybersécurité efficace. Or, alors que leurs efforts en ce sens s’intensifient, elles doivent prendre en compte un paramètre supplémentaire : l’évolution de leurs pratiques IT. L’adoption de la méthode agile, notamment par les développeurs, rend la tâche plus complexe, puisque les lancements en production interviennent de plus en plus régulièrement. Garantir l’exactitude des données et assurer la sécurité du code source devient donc le défi numéro 1. Ce contexte favorise le développement de portefeuille d’offres « as a Service », qui s’imposent de par leur capacité à répondre aux besoins croissants de sécurité, de rapidité et de visibilité des entreprises.
Une offre en adéquation avec la problématique d’agilité
Afin d’améliorer leur efficacité, les entreprises sont de plus en plus nombreuses à se convertir à la méthode agile et aux approches DevOps et DevSecOps. Une fois l’adoption assimilée dans la culture d’entreprise viennent les défis techniques. En effet, la méthode agile engendre une accélération des phases de développement. Les équipes en charge de la revue de code doivent donc faire preuve d’une plus grande rapidité d’action, pour s’adapter à des lancements plus rapides et fréquents. Pour garantir un niveau de sécurisation maximal constant, elles ont besoin d’identifier régulièrement les vulnérabilités, quasiment en continu. Afin d’éviter que les erreurs dans le code source ne partent en production et pour garantir la qualité optimale de leur offre, elles peuvent capitaliser sur des analyses régulières via des solutions évolutives, as a Service.
La revue de code as a Service, élément clé d’une sécurité optimale
De nombreux acteurs proposent des revues de code manuelles. Les entreprises peuvent en bénéficier à la demande, ponctuellement, mais l’analyse du code source et la production du rapport des vulnérabilités demandent du temps. Trop de temps pour le rythme agile.
Selon l’étude “Agile and DevOps in 2019: Enterprise Culture is Key” de l’ISG, 44% des sondés souhaitent collaborer avec des fournisseurs en phase avec les démarches agile et DevOps. Ces acteurs doivent donc en tenir compte et proposer une offre en adéquation avec les nouveaux besoins des entreprises. Ils doivent donc mettre à disposition des clients des outils capables de lire une multitude de langages de développement, offrant des rapports de vulnérabilité complets dans des délais toujours réduits. Les interfaces doivent être accessibles à tous les acteurs du projet (équipes techniques, sécurité, marketing) ayant besoin d’être rassurés quant à la qualité du code déployé. Les diverses équipes ont besoin de dashboards lisibles, fournissant à tous les mêmes KPIs.
Un atout clé supplémentaire pour se démarquer des fournisseurs de services technologiques concurrents porte sur l’accompagnement pédagogique. Ainsi, les développeurs doivent non seulement pouvoir évaluer les niveaux de criticité et être alertés, mais aussi disposer des informations nécessaires pour réparer les failles. Les fournisseurs de service qui leur donneront les conseils adéquats feront montre d’un niveau d’accompagnement élevé. Ceci contribue à la montée en compétence des développeurs, qui améliorent alors la réparation des vulnérabilités.
Pour répondre à cette transformation en profondeur des entreprises, les fournisseurs de services technologiques ont intérêt à faire évoluer leur portefeuille vers des offres « as a Service ». La fluidité dans l’intégration de l’offre, la vitesse de production de rapports utiles à de nombreux acteurs ou encore l’adéquation avec les cadences des itérations permettront de soutenir l’activité en méthodologie agile et avec les démarches DevOps et DevSecOps. Si beaucoup de fournisseurs l’ont déjà compris, reste à savoir quand leurs portefeuilles d’offre reflèteront l’évolution de leur approche.