DevSecOps - Au cœur de l'action plutôt qu'à côté

Nous nous souvenons qu'en 2009, avec la présentation "10+ Deploys per Day : Dev and Ops Cooperation", Flickr a initié un grand changement de mentalité dans les processus de développement.A cette époque, le développement et les opérations étaient strictement séparés et un produit "fini" était remis aux équipes d'exploitation pour l'exploitation à la fin du processus de développement. Les erreurs qui ne se manifestaient qu'au cours de l'exploitation étaient signalées à l'équipe de développement, qui les corrigeait ensuite - en dehors de l'environnement opérationnel.

Cette méthodologie chronophage s'est avérée être un goulet d'étranglement et un tueur d'innovations, en particulier dans le domaine du développement d'applications web. Avec DevOps, les développeurs et l'entreprise doivent désormais être dans le même bateau et déployer les mises à jour dans l'environnement de production dans des unités plus petites et des cycles beaucoup plus courts, en automatisant au maximum de nombreuses tâches et en les exécutant en permanence en arrière-plan. Les erreurs sont ainsi détectées et traitées plus tôt. L'ensemble du processus, du développement à l'exploitation, doit littéralement devenir plus "agile" et donc plus rapide.

SAP et DevOps

Selon "l'étude de tendance DevOps 2017", un peu plus de la moitié des entreprises allemandes utilisent DevOps et, dans de nombreux cas, elles en sont encore à la première étape, celle de l'implémentation proprement dite de DevOps. Dans l'environnement SAP, qui est traditionnellement beaucoup plus segmenté (OS/datacenter, DB, Basis, application), ce chiffre est probablement encore nettement inférieur. Toujours est-il que les devises "Never touch a running system" s'appliquent beaucoup plus aux applications critiques qu'aux autres applications web.

De plus, de nombreux concepts de DevOps, tels que l'intégration continue et les tests unitaires automatisés, sont difficiles à intégrer dans les processus de développement SAP traditionnels. Ainsi, DevOps est déjà dépassé, ou plutôt complété, avant même d'être vraiment arrivé dans l'environnement SAP.

Car si la sécurité devient un critère pour l'exploitation des applications et qu'elle a le potentiel, tout comme les défauts fonctionnels auparavant, de renvoyer les résultats du processus DevOps agile à la planche à dessin, alors la sécurité devrait également être intégrée tôt dans le processus de développement.

Prévenir les failles de sécurité à un stade précoce

C'est précisément l'approche que poursuit DevSecOps. Les experts en sécurité ne doivent pas d'abord être chargés de sécuriser le produit fini quasiment "de l'extérieur", mais d'identifier les lacunes qui peuvent devenir des problèmes de sécurité lors de l'exploitation, déjà "en amont", c'est-à-dire tôt dans le cycle de vie du développement logiciel, et de les empêcher - idéalement par un code meilleur et plus sûr.

Même si certains concepts DevOps ne peuvent pas être appliqués tels quels au développement SAP, il n'en reste pas moins que de nombreuses notes de sécurité "critiques" ou même "chaudes" de ces dernières années auraient pu être évitées en intégrant systématiquement la sécurité dans le processus de développement. Il en va de même pour les deux millions de lignes de code personnalisé que l'on trouve en moyenne dans les systèmes SAP en production.

Les outils qui rendent possibles de nombreuses approches DevSecOps agiles sont nombreux dans le domaine SAP : des outils parfaitement intégrés pour l'analyse statique du code, le Static Code Security Testing (SAST) jusqu'à l'automatisation des tests des solutions packagées.

De tels outils, associés à la coopération continue et à la puissance intellectuelle combinée des développeurs SAP, des experts en sécurité et des équipes d'exploitation, permettent inévitablement d'éviter de nombreuses failles de sécurité évidentes dans le code personnalisé. La sécurité est intégrée dans le code au lieu d'être placée en amont.

Compte tenu du coût moyen d'un incident de sécurité SAP, qui s'élève à 4,5 millions de dollars US selon une étude du Ponemon Institute, les entreprises devraient donc être très motivées pour appliquer les concepts DevSecOps au développement d'applications SAP. Mais peut-être n'y a-t-il pas de mot à la mode ? Dans ce cas, je lance volontiers DevSecSAPOps dans le ring.