Pour étendre la culture DevSecOps, observabilité et sécurité doivent converger
Avec le raccourcissement des cycles de livraison de code, le risque d'introduire des défauts ou des vulnérabilités en production grimpe. Le dernier CIO Report publié par l'éditeur Dynatrace souligne la nécessité pour les équipes DevOps d'aller plus loin dans l'automatisation et de faire converger observabilité et sécurité. La clef, selon l'étude, pour construire une culture DevSecOps.
PublicitéL'accélération de la transformation digitale n'est pas qu'une vue de l'esprit. Au quotidien, les équipes DevOps la vivent de façon très concrète, comme l'illustrent quelques chiffres issus du dernier CIO Report de l'éditeur Dynatrace. Selon l'étude, basée sur les réponses de 1 300 professionnels IT et DSI, près de huit organisations sur dix (78%) déploient des mises à jour logicielles en production au moins toutes les 12 heures (66% en France), et pour plus de la moitié (54%), c'est le cas au moins toutes les 2 heures (47% en France).
Cette situation entraîne des difficultés croissantes à garantir la fiabilité, la sécurité et la qualité des applications. Au niveau mondial, 55% des répondants reconnaissent faire des compromis sur certains aspects pour livrer plus vite. Ainsi, 41% des DSI interrogés admettent sacrifier la qualité du code et l'expérience utilisateur pour répondre à la pression du business, tandis que chez un bon tiers (34%), l'arbitrage se fait au détriment de la sécurité. En France, les sondés semblent toutefois un peu moins contraints de négliger ces exigences, avec 38% seulement des répondants français qui admettent faire des compromis.
Automatiser davantage certaines tâches
Parmi les facteurs qui expliquent les difficultés rencontrées figure l'automatisation encore insuffisante de certaines pratiques. En moyenne, les équipes DevOps passent ainsi 31% de leur temps à détecter de façon manuelle des vulnérabilités ou des problèmes de qualité. Pour améliorer celle-ci, plus de la moitié des entreprises interrogées (54%) prévoient d'investir dans le test en continu des applications en production et 49% veulent faire de même pour renforcer la sécurité. Les répondants sont également 41% à vouloir investir dans la détection et le blocage de vulnérabilités en production. Environ un tiers des répondants souhaitent aussi agir plus en amont, en automatisant les processus de validation des releases (35%) ou en introduisant des tests de sécurité en continu plus tôt dans le cycle de développement (31%).
Le développement de la culture DevSecOps, qui redonne à la sécurité toute sa place dans la chaîne de livraison et d'intégration en continu (CI/CD), apparaît comme une priorité. 94% des DSI interrogés en font la condition pour concilier les attentes de vitesse avec les exigences de qualité et de sécurité. Cependant, selon l'étude, 27% seulement estiment que leurs équipes adhèrent pleinement au DevSecOps. Et les torts sont partagés : 55% des équipes de sécurité peinent à faire confiance aux développeurs, mais 49% de ces derniers perçoivent la sécurité comme un frein à l'innovation.
AIOps pour accéder aux données d'observabilité en temps réel
Dès lors, comment casser ces silos ? 88% des DSI pensent qu'il faut faire converger les pratiques d'observabilité et de sécurité et neuf sur dix espèrent s'appuyer sur les technologies d'intelligence artificielle appliquées à la production (AIOps) pour diffuser davantage la culture DevSecOps. Les enjeux portent notamment sur la capture des données, logs et indicateurs lors des tests et en production ; l'accessibilité en temps réel à ces données d'observabilité et l'élimination des tâches manuelles associées à leur analyse. Mais pour y parvenir, les outils AIOps doivent également faire leurs preuves et offrir davantage de transparence sur leurs décisions : 70% des répondants indiquent avoir besoin de gagner en confiance sur ces technologies avant d'aller plus loin dans l'automatisation du pipeline CI/CD.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire