Définition du DevSecOps

DevSecOps est une culture qui hérite du DevOps qui consiste à introduire la sécurité plus tôt dans le cycle de vie du développement logiciel.

DevSecOps élargit également la collaboration entre les équipes de développement et d'exploitation pour intégrer les équipes de sécurité dans le cycle de livraison des logiciels.

DevSecOps nécessite un changement de culture, de processus et d'outils au sein de ces équipes fonctionnelles principales et fait de la sécurité une responsabilité partagée.

Toutes les collaborateurs impliquées dans le développement et le maintient en condition opérationnelle ont un rôle à jouer dans l'intégration de la sécurité dans la chaîne d'intégration continue et

de livraison continue (CI/CD) DevOps.

La genèse du DevSecOps

Dans le monde entier, l’intérêt et l’adoption du DevSecOps se développent rapidement. Mais qu’est-ce que le DevSecOps ?

Développer et mettre sur le marché un SaaS ou un logiciel peut être long et complexe.

Les développeurs (Dev), les équipes opérationnelles (Ops) et les équipes sécurités (Sec) interagissent ensemble pour répondre à 3 enjeux précis :

• Time To Market (TTM) : Mettre en ligne de nouvelles fonctionnalités toujours plus rapidement pour aligner les applications de l’entreprise aux attentes des clients.
• Stabiliser les applications : Garantir que les applications soient toujours disponibles et fonctionnelles pour les clients afin de limiter le risque de perdre du chiffre d’affaire ou d’impacter l’image de marque négativement
• Sécurité des données : Garantir un niveau de sécurité important en continu pour ne pas se faire hacker ses données.

Dans les organisations traditionnelles, chaque acteur (Dev, Ops, Sec) est responsable de traiter un seul enjeu.

Le développeur s’occupe de développer de nouvelles fonctionnalités, l’équipe opérationnelle stabilise les applications et l’équipe sécurité s’occupe de la sécurité.

Cette organisation est bien souvent inefficace et a un impact négatif sur la productivité des équipes :