DevOps, mais en toute sécurité


Est-il vraiment judicieux de fusionner les deux silos du développement et de l'exploitation avec le monde hermétique de la sécurité pour former une organisation agile ? Cela ne signifie-t-il pas que l'élan agile de DevOps est aussitôt freiné ? Il est vrai qu'en tant que CTO d'un prestataire de services informatiques, je ne comprends que trop bien ce genre de questions. Après tout, la numérisation exige des résultats rapides. Il s'agit de mettre en place des systèmes rapidement et de les exploiter efficacement.
Mais à quoi bon si le développement semble avoir été achevé en un temps record, mais que le produit échoue ensuite aux tests de sécurité ? L'expérience le montre : Outre des coûts élevés et des opportunités de chiffre d'affaires manquées, une telle approche DevOps, qui échoue trop tard, nuit également à la stratégie agile qui la sous-tend. Certes, l'organisation agile rend plus difficile l'établissement d'un tout entre le développement, la sécurité et l'exploitation dès le début. Les problèmes de sécurité étouffent dans l'œuf bien des développements prometteurs. Mais là encore, il faut considérer l'échec précoce comme une chance qui permet d'éviter des investissements erronés et coûteux. La question n'est donc pas de savoir si DevOps deviendra DevSecOps, mais comment y parvenir.
Mêmes défis que DevOps
Les obstacles sur la voie d'une organisation DevSecOps ne sont guère différents de ceux auxquels toute approche DevOps est de toute façon confrontée : Outre la structure en silos, qui peut être modifiée par des mesures organisationnelles, c'est la culture en silos consolidée qui persiste dans les esprits. L'opposition entre les développeurs "créatifs mais chaotiques" et les experts en sécurité "intransigeants et pédants" est encore plus marquée que dans l'interaction entre le développement et l'exploitation.
La bonne nouvelle pour tous les participants : la compréhension est possible ! En effet, l'expérience montre que la collaboration en équipe entre les développeurs, les administrateurs et les experts en sécurité produit plus rapidement de meilleurs résultats et est en même temps plus amusante. La tâche la plus importante lors de la mise en place d'une structure DevSecOps se situe au niveau de la direction. Elle doit établir des courtiers culturels qui veulent le changement, qui trouvent des personnes partageant les mêmes idées et qui sont capables d'enthousiasmer les autres.
Dans un premier temps, il faut donc un échange ouvert dans le cadre existant, qui ne craint pas la confrontation entre les forces qui persistent et celles qui veulent changer. C'est là que se trouvent les acteurs qui développent ensemble des structures d'adaptation et de liaison mutuelles. Concrètement, il s'agit de poser des questions. Non pas pour obtenir les "bonnes" réponses, mais pour lancer le débat : Comment l'informatique et le business peuvent-ils améliorer ensemble les processus existants et en créer de nouveaux ? Que doivent savoir les silos actuels les uns des autres à cet effet ? Comment pouvons-nous obtenir plus rapidement de meilleurs résultats grâce à DevSecOps ?
La diversité au sein de l'équipe est l'une des clés de la réussite des organisations agiles. Mais comment agissent les équipes interdisciplinaires, alors que pendant des années, chaque département a travaillé de son côté ? Malgré toutes les professions de foi en faveur de la sécurité dès la conception, deux mondes s'affrontent encore aujourd'hui dans la plupart des entreprises avec le développement et la sécurité.
Étapes de la mise en œuvre de DevSecOps
Lors de la fusion de ces mondes en une organisation agile, les étapes pratiques suivantes ont fait leurs preuves dans les projets DevSecOps de NTT Data dans le monde entier :
- Installer le programme Security Champion
- Un développement sûr est plus amusant
- Permettre à des spécialistes du développement et de la sécurité d'effectuer des stages dans l'autre domaine.
- La connaissance mutuelle favorise la compréhension de la tâche commune
- Fournir des offres de formation
- Les gens veulent apprendre - apprendre ensemble favorise le succès commun
- Concevoir une relation équitable entre l'informatique et l'entreprise
- Avec la numérisation croissante, l'ancienne répartition entre l'informatique en tant que fournisseur et l'entreprise en tant que client n'est plus adaptée.
- Fixer des objectifs communs, ce qui implique que les équipes DevSecOps puissent prendre des décisions ensemble.