Tuesday, June 3, 2025

DevOps et SecDevOps version illustrée

Alors, c’est quoi "la grosse affaire" avec DevSecOps ?

Pourquoi est-ce si difficile à expliquer ?
Je peux le faire, mais parlons d’abord de DevOps.

Acte I – DevOps, la culture qu’on ne peut pas simplement "embaucher"

Contrairement à bien des offres d’emploi, DevOps n’est pas un titre ou un rôle. C’est une façon de travailler qui fait tomber le mur entre celles et ceux qui créent les logiciels et celles et ceux qui le font tourner, qui l'exploitent. Pensez à DevOps comme si c'était un ensemble de bonnes habitudes :

  • Responsabilité partagée: Dev et Ops résolvent les problèmes ensemble.
  • Automatisation: Le pipeline prend en charge le répétitif ; les humains se concentrent sur la valeur.
  • Rétroaction continue: Livrer petit et vite, c’est moins risqué que tout livrer d’un coup.
  • Le processus avant l’outil: Les outils ne comptent que s’ils servent l’équipe et son flux.

Les équipes qui adoptent ce changement culturel livrent plus vite et avec moins d’incidents, comme le démontrent les rapports DORA State of DevOps année après année.[1]

Règle d’or
Faire la bonne chose au bon moment.
Simple à dire, difficile à maîtriser.

Acte II – Ajouter le SEC

On étend la même logique : si Ops est dans la discussion dès le jour 1, la Sécurité y a sa place aussi. DevSecOps intègre contrôles, tests et gouvernance de sécurité à chaque étape du pipeline, au lieu d’un audit final hors délais.[2]

Acte III – Parcours du pipeline

(Cliquez sur l’image pour l’agrandir .)

Figure 1 – Exemple de pipeline Dev + Sec + Ops.
Étape Pourquoi elle existe Qui elle protège
Expérimentation Échouer vite sur une branche ou dans un bac à sable local. Pratiquement tout le monde.
Dev Vérifier l’intégration avec le code, la config et l’IaC. Les autres ingénieurs.
QA Tests automatisés et exploratoires, jeux de données, portes de contrôle. Testeurs et premiers utilisateurs.
UAT Imiter la prod autant que le budget le permet ; perf. et validation métier. Parties prenantes d’affaires.
Prod Dernière porte, notes de version, écarts d’infrastructure. Clients réels et revenus.

Les questions de sécurité voyagent avec l’application :

  • Expérimentation → Dev — Analyse statique, détection de secrets.
  • Dev → QA — Vérif. de dépendances, signature d’images conteneurs.
  • QA → UAT — Tests dynamiques (DAST), détection de dérive infra.
  • UAT → Prod — Artefacts de conformité, politiques à l’exécution.

Nous n’avons pas ajouté d’environnements: nous avons "scotché" la sécurité dans ceux qui existaient déjà.

Acte IV – Le grand changement DevSecOps.

Prêt·e pour le punch ?

On ne change… rien.

Les étapes, les gens et la cadence restent les mêmes. Ce qui change, c’est la définition de “fait” (Definition of done, ou DoD). Les exigences de sécurité deviennent des citoyens de première classe: planifiées, codées, testées, déployées avec les fonctionnalités. Ça paraît presque ennuyeux ; c’est justement le but : la sécurité devient routine, pas roulette russe.

Conclusion – Pourquoi c’est crucial maintenant

  • Les équipes qui combinent culture, automatisation et sécurité surpassent leurs pairs en stabilité et vitesse.[1]
  • La gouvernance, les lois et les clients exigent désormais une hygiène de la chaîne de livraison logicielle, en continu.
  • La rétention des talents s’améliore quand Ops et Sécurité ne sont pas en mode incendie à 2 h du matin.

Votre appel à l’action:

  1. Invitez la sécurité au stand-up quotidien. Dès aujourd’hui. Pas besoin de diapos.
  2. Automatisez une "épine dans le pied"
  3. Ajoutez un seul contrôle de sécurité: Owasp, SAST, SCA ou scan de conteneur, avant la prochaine revue de sprint.
  4. Partagez cet article avec un·e collègue et demandez-lui ce que « faire la bonne chose au bon moment » signifie pour elle ou lui.

DevSecOps n’est pas une nouvelle religion ; c’est du DevOps bien fait. Commencez petit, itérez, et laissez la sécurité devenir aussi invisible, et indispensable, que Git.

Prêts·es à faire tomber le mur pour de bon ? Livrons, en toute sécurité. Laissez vos question ci-bas!

Références

  1. Google Cloud / DORA – Rapports « State of DevOps »
  2. Red Hat – Qu’est-ce que DevSecOps ?
  3. AWS – DevSecOps expliqué

© 2025 JPSoftWorks. Tous droits réservés.

at
Labels: , , , , , , , , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

L’excellence en ingénierie est-elle une espèce en voie de disparition?

Une réflexion SecDevOps sur le rapport 2025 " State of Software Engineering Excellence " Pourquoi ce rapport est important pou...