Parce que la cybersécurité est devenue un enjeu majeur des entreprises à l'ère numérique – et pas uniquement dans le secteur financier –, une nouvelle pratique, baptisée « DevSecOps », s'installe peu à peu dans leurs DSI afin d'en imprégner la culture et les projets. L'idée est séduisante mais elle n'est pas exempte de risque.
Dérivé de l'approche « DevOps », aujourd'hui largement répandue, dont la vocation est de rapprocher les équipes de développement et de production informatique de manière à fluidifier le déploiement des applications (et ainsi accélérer les cycles d'évolution), le concept de « DevSecOps », qui fait l'objet d'un manifeste plus ou moins officiel, vise à introduire les exigences de cybersécurité à tous les stades de la création logicielle, en continu, sans attendre des points de contrôle formels réalisés lors d'étapes clés.
Bien entendu, cette ambition est parfaitement légitime. Cependant, je m'inquiète du parallèle qu'établit implicitement l'appellation retenue entre deux préceptes qui ne peuvent adopter la même démarche. En effet, si, d'un côté, « DevOps » maintient deux rôles distincts entre développement et production (tout en visant à les faire mieux communiquer), j'estime que la cybersécurité devrait être immergée dans les pratiques habituelles des uns et des autres, ce qui est souvent oublié dans les faits.
Quand la moindre ligne de code ou le paramètre de configuration le plus anodin peut se transformer en une faille critique, dans laquelle sont prêts à s'engouffrer les cybercriminels du monde entier, il n'est résolument plus possible de compter uniquement sur les spécialistes pour garantir la sécurité des systèmes. Même s'ils restent essentiels dans les dispositifs, par exemple pour établir les règles et principes à respecter, toutes les personnes impliquées dans les projets doivent assumer leur responsabilité.
Or ce besoin est actuellement mal couvert dans beaucoup d'organisations, voire en amont. Jusqu'à quel point, par exemple, les professionnels du développement et de l'exploitation informatique sont-ils formés aux problématiques de cybersécurité ? Existe-t-il des guides de bonnes pratiques et sont-ils effectivement utilisés au quotidien ? Des automatismes sont-ils mis en place pour prendre en charge et contrôler les mécanismes de précaution élémentaires ? Ce sont là les premières actions à entreprendre.
Autrement dit, la priorité pour l'entreprise est d'arrêter de considérer que la cybersécurité est une discipline « à part » et d'admettre qu'elle est une compétence indispensable de tous ses collaborateurs (au-delà même de la DSI, dans une certaine mesure) : en particulier, le « Sec » dans « DevSecOps » ne correspond pas à une personne ou à un département, c'est une pratique généralisée. Et ne devrait-il pas, en outre, en être de même, au moins en partie, pour la conformité et l'éthique, notamment quand il est question de protection des données personnelles et de respect de la vie privée ?