Dans l’économie applicative actuelle, la demande en développement logiciel ne cesse de croître. Les logiciels et applications sont désormais au cœur des décisions stratégiques, où les retards entraînent des pertes de revenus et les dysfonctionnements peuvent faire perdre des clients. De plus en plus d’entreprises adoptent le DevOps pour répondre à leur besoin de rapidité, en unifiant les équipes de développement et d’exploitation autrefois distinctes.
Parallèlement, le flux constant d’informations concernant les vulnérabilités logicielles et les violations de données liées aux applications renforce l’importance du DevSecOps, qui intègre la sécurité au développement et aux tests logiciels pour des résultats plus rapides, de meilleure qualité et plus sûrs.
Traditionnellement, il incombait au développeur de s’assurer du bon fonctionnement du code. Cette pratique était renforcée par l’ancienne séparation entre les équipes de développement, d’exploitation et de sécurité : tant que l’application était livrée à temps et qu’elle fonctionnait, leur travail était terminé. Il revenait ensuite à l’équipe de sécurité d’assurer sa protection et à l’équipe d’exploitation d’en garantir le bon fonctionnement.
Pourtant, le passage au DevOps implique que les développeurs doivent désormais jouer un rôle plus actif pour garantir la qualité et la sécurité de leur code. Cela crée de nouveaux défis pour les développeurs, pour qui la sécurité du code était, au mieux, une question secondaire.
Les lacunes de la formation initiale
Le passage au DevOps – et de plus en plus au DevSecOps – a mis en évidence le fait que la formation initiale des professionnels de l’informatique et du développement n’a pas évolué au même rythme que les pratiques des entreprises. Une enquête récente, [commandée par Veracode et DevOps.com](https://info.veracode.com/analyst-report-devsecops-global-skill-survey.htmlUne étude a révélé que, si 65 % des professionnels DevOps estiment qu’il est essentiel de maîtriser les techniques DevOps pour débuter dans l’informatique, les trois quarts des répondants indiquent ne pas recevoir, dans le cadre de leur cursus universitaire, la formation nécessaire pour réussir en DevSecOps.
De nombreux cursus universitaires d’informatique ne proposent actuellement aucun enseignement pratique sur la manière d’atténuer les failles de sécurité dans le code – un élément pourtant crucial du rôle du développeur DevSecOps. Bien que près de 80 % des répondants soient titulaires d’une licence ou d’un master, 70 % déclarent que leur formation en sécurité ne répond pas aux exigences de leur poste actuel.
Si la question de l’intégration d’une dimension pratique dans les cursus universitaires, en complément de l’approche théorique actuelle, se pose, une autre solution s’impose à court terme.
Tant que l’enseignement supérieur ne mettra pas davantage l’accent sur la formation des développeurs et des ingénieurs logiciels à la conception de code plus sécurisé, il incombera aux organisations adoptant le DevOps de former leurs développeurs à l’identification et à la correction des vulnérabilités du code.
Développer les compétences de votre équipe de développement
Mon expérience personnelle en matière de gestion d’équipes de développement pour combler le déficit de compétences en sécurité m’a montré qu’il n’existe pas de solution miracle. Au-delà des exigences de formation technique, les responsables d’équipes de développement savent que faire de la sécurité une priorité au sein de la culture d’entreprise est peut-être le plus grand défi.
Alors, comment les responsables d’équipes de développement peuvent-ils développer les compétences de leurs développeurs en matière de sécurité du code et éviter un rejet culturel ? Voici les trois approches que j’ai jugées les plus efficaces.
Formation externe
Que ce soit en présentiel ou en e-learning, un tiers des répondants ont identifié la formation externe comme le moyen le plus efficace d’acquérir de nouvelles compétences. Malheureusement, seulement 4 % des personnes interrogées ont eu cette opportunité.
La formation en présentiel est indéniablement coûteuse, c’est pourquoi de nombreuses organisations optent pour l’e-learning. Cependant, il est important que celles qui investissent dans ce domaine mettent en place des processus garantissant un retour sur investissement minimal.
Pour des compétences aussi cruciales que le développement sécurisé, les organisations devraient rendre obligatoires les cours pour les nouveaux employés afin de définir un niveau de compétence minimal pour l’ensemble de l’équipe. Fixer des objectifs annuels permettra également de s’assurer que les développeurs suivent les formations nécessaires.
Intégrer l’analyse statique au pipeline DevOps
Le meilleur moyen de garantir la sécurité du code écrit par les développeurs est de leur fournir un retour d’information constant, à l’instar des soulignements rouges de Microsoft Word qui nous aident à éviter les fautes de frappe depuis plus de dix ans.
L’intégration de l’analyse statique au pipeline DevOps permet de fournir ce retour d’information constant, garantissant ainsi aux développeurs la possibilité de corriger les vulnérabilités au fur et à mesure, plutôt que de rédiger de longs rapports de sécurité après la correction des failles. Cela permet non seulement aux développeurs de repérer et de corriger les erreurs en temps réel, mais aussi d’éviter aux responsables de développement d’avoir à choisir entre respecter une échéance ou déployer une application ou une mise à jour non sécurisée.
Désigner des référents sécurité
Tous les développeurs n’ont pas besoin d’être des experts en sécurité. Cependant, ils ont besoin d’avoir accès à une personne possédant des connaissances en sécurité et une bonne compréhension des méthodes de travail des développeurs. Une petite équipe d’experts en sécurité peut mettre à profit ses compétences en formant certains développeurs aux fondamentaux du codage sécurisé, créant ainsi des référents sécurité pour sensibiliser toute l’équipe à la sécurité.
Dans ce modèle, l’équipe se tourne vers son référent sécurité pour des conseils réguliers en matière de conception et de codage sécurisés. Les référents sécurité peuvent aider leurs équipes Scrum à prioriser la sécurité dans le cycle de vie du développement logiciel (SDLC), et apporter leur soutien sur les problèmes de sécurité particulièrement complexes. Ils veillent à ce qu’aucune vulnérabilité ne reste non corrigée par manque de compétences et que les développeurs reçoivent des conseils de sécurité de la part de pairs qui comprennent leurs problématiques et leurs difficultés.
Il est temps d’agir
À mesure que les organisations adoptent les pratiques DevOps et DevSecOps, les processus de sécurité traditionnels seront jugés inadaptés. Face à la menace de cybercriminels exploitant les vulnérabilités des applications et des logiciels, il est indéniable que les organisations doivent agir dès maintenant pour former leurs développeurs aux nouvelles exigences induites par cette évolution des pratiques de développement. Quelle que soit l’approche adoptée en matière de formation à la sécurité, le besoin est incontestable.
Article rédigé par : Maria Loughlin
