DevSecOps : comment réussir sa transition

Le DevOps ne suffit plus face aux impératifs de sécurisation des développements. Mais réussir sa transition vers le DevSecOps implique de réévaluer le rôle et la responsabilité des équipes de sécurité et de développement. Pour Nabil Bousselham, architecte de solutions chez Veracode, « ce changement de culture soulève un véritable défi, puisque la plupart des professionnels de la sécurité n’ont jamais travaillé aux côtés des équipes de développement. Or, la clé du bon fonctionnement du DevSecOps réside dans la capacité de ces deux parties à travailler ensemble. »

Selon une étude menée en France, au Royaume-Uni et en Allemagne par le cabinet CensusWide pour MongoDB, les développeurs (92 %) et les décideurs (88 %) nous rassurent sur le fait qu’ils prennent toutes les précautions nécessaires lors de l’élaboration de nouvelles applications.  De plus, tous s’accordent à dire que la sécurité des données est leur préoccupation principale lors de la fourniture de nouveaux logiciels, et ce pour 53 % des décideurs informatiques et 47 % des développeurs. Cependant, ce consensus disparaît lorsqu’il s’agit d’écrire un logiciel.

Pour Joe Drumgoole, Director of Developer Advocacy chez MongoDB, « c’est parce que l’équilibrage des priorités fait défaut : lorsque nous avons demandé aux développeurs quels étaient les principaux responsables de la sécurisation d’une application, seuls 29 % se sont cités, tandis que les autres désignaient les spécialistes sécurité (22 %), les chefs d’entreprise ayant présenté le projet (18 %), l’équipe d’exploitation (16 %) et même des membres de la sécurité qu’ils ne connaissaient pas (14 %). » Un résultat très comparable à celui des DSI. La majorité d’entre eux (28 %) pensent qu’un spécialiste sécurité porte l’essentiel des responsabilités. Ils sont par ailleurs 21 % à estimer que ce sont les développeurs.