{"id":60280,"date":"2019-09-05T08:00:08","date_gmt":"2019-09-05T06:00:08","guid":{"rendered":"http:\/\/e3mag.com\/?p=60280"},"modified":"2025-07-02T11:39:03","modified_gmt":"2025-07-02T09:39:03","slug":"devops-mais-en-toute-securite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/devops-aber-sicher\/","title":{"rendered":"DevOps, mais en toute s\u00e9curit\u00e9"},"content":{"rendered":"

Est-il vraiment judicieux de fusionner les deux silos du d\u00e9veloppement et de l'exploitation avec le monde herm\u00e9tique de la s\u00e9curit\u00e9 pour former une organisation agile ? Cela ne signifie-t-il pas que l'\u00e9lan agile de DevOps est aussit\u00f4t frein\u00e9 ? Il est vrai qu'en tant que CTO d'un prestataire de services informatiques, je ne comprends que trop bien ce genre de questions. Apr\u00e8s tout, la num\u00e9risation exige des r\u00e9sultats rapides. Il s'agit de mettre en place des syst\u00e8mes rapidement et de les exploiter efficacement.<\/p>\n

Mais \u00e0 quoi bon si le d\u00e9veloppement semble avoir \u00e9t\u00e9 achev\u00e9 en un temps record, mais que le produit \u00e9choue ensuite aux tests de s\u00e9curit\u00e9 ? L'exp\u00e9rience le montre : Outre des co\u00fbts \u00e9lev\u00e9s et des opportunit\u00e9s de chiffre d'affaires manqu\u00e9es, une telle approche DevOps, qui \u00e9choue trop tard, nuit \u00e9galement \u00e0 la strat\u00e9gie agile qui la sous-tend. Certes, l'organisation agile rend plus difficile l'\u00e9tablissement d'un tout entre le d\u00e9veloppement, la s\u00e9curit\u00e9 et l'exploitation d\u00e8s le d\u00e9but. Les probl\u00e8mes de s\u00e9curit\u00e9 \u00e9touffent dans l'\u0153uf bien des d\u00e9veloppements prometteurs. Mais l\u00e0 encore, il faut consid\u00e9rer l'\u00e9chec pr\u00e9coce comme une chance qui permet d'\u00e9viter des investissements erron\u00e9s et co\u00fbteux. La question n'est donc pas de savoir si DevOps deviendra DevSecOps, mais comment y parvenir.<\/p>\n

M\u00eames d\u00e9fis que DevOps<\/h3>\n

Les obstacles sur la voie d'une organisation DevSecOps ne sont gu\u00e8re diff\u00e9rents de ceux auxquels toute approche DevOps est de toute fa\u00e7on confront\u00e9e : Outre la structure en silos, qui peut \u00eatre modifi\u00e9e par des mesures organisationnelles, c'est la culture en silos consolid\u00e9e qui persiste dans les esprits. L'opposition entre les d\u00e9veloppeurs \"cr\u00e9atifs mais chaotiques\" et les experts en s\u00e9curit\u00e9 \"intransigeants et p\u00e9dants\" est encore plus marqu\u00e9e que dans l'interaction entre le d\u00e9veloppement et l'exploitation.<\/p>\n

La bonne nouvelle pour tous les participants : la compr\u00e9hension est possible ! En effet, l'exp\u00e9rience montre que la collaboration en \u00e9quipe entre les d\u00e9veloppeurs, les administrateurs et les experts en s\u00e9curit\u00e9 produit plus rapidement de meilleurs r\u00e9sultats et est en m\u00eame temps plus amusante. La t\u00e2che la plus importante lors de la mise en place d'une structure DevSecOps se situe au niveau de la direction. Elle doit \u00e9tablir des courtiers culturels qui veulent le changement, qui trouvent des personnes partageant les m\u00eames id\u00e9es et qui sont capables d'enthousiasmer les autres.<\/p>\n

Dans un premier temps, il faut donc un \u00e9change ouvert dans le cadre existant, qui ne craint pas la confrontation entre les forces qui persistent et celles qui veulent changer. C'est l\u00e0 que se trouvent les acteurs qui d\u00e9veloppent ensemble des structures d'adaptation et de liaison mutuelles. Concr\u00e8tement, il s'agit de poser des questions. Non pas pour obtenir les \"bonnes\" r\u00e9ponses, mais pour lancer le d\u00e9bat : Comment l'informatique et le business peuvent-ils am\u00e9liorer ensemble les processus existants et en cr\u00e9er de nouveaux ? Que doivent savoir les silos actuels les uns des autres \u00e0 cet effet ? Comment pouvons-nous obtenir plus rapidement de meilleurs r\u00e9sultats gr\u00e2ce \u00e0 DevSecOps ?<\/p>\n

La diversit\u00e9 au sein de l'\u00e9quipe est l'une des cl\u00e9s de la r\u00e9ussite des organisations agiles. Mais comment agissent les \u00e9quipes interdisciplinaires, alors que pendant des ann\u00e9es, chaque d\u00e9partement a travaill\u00e9 de son c\u00f4t\u00e9 ? Malgr\u00e9 toutes les professions de foi en faveur de la s\u00e9curit\u00e9 d\u00e8s la conception, deux mondes s'affrontent encore aujourd'hui dans la plupart des entreprises avec le d\u00e9veloppement et la s\u00e9curit\u00e9.<\/p>\n

\u00c9tapes de la mise en \u0153uvre de DevSecOps<\/h3>\n

Lors de la fusion de ces mondes en une organisation agile, les \u00e9tapes pratiques suivantes ont fait leurs preuves dans les projets DevSecOps de NTT Data dans le monde entier :<\/p>\n