Lors du Tech.Rocks Summit, Stéphane Loesel, CTO de Fluid Topics, a partagé sa vision approfondie du DevSecOps dans une interview menée par Aroua Biri, fondatrice de Frcyber-WeeSec. Définissant le DevSecOps comme une intégration transparente de la sécurité dans le cycle de vie du développement logiciel, le CTO de Fluid Topics a mis en lumière l'importance d'une approche progressive, transparente et non silotée du DevSecOps.
Stéphane Loesel, CTO de Fluid Topics, a apporté un éclairage essentiel sur le DevSecOps, une méthodologie qui fusionne les principes de développement (Dev), de sécurité (Sec) et d'opérations (Ops) dans un cadre intégré. Cette approche vise à incorporer la sécurité à chaque étape du cycle de développement logiciel, garantissant ainsi une protection robuste et proactive face aux menaces émergentes.
Stéphane Loesel a souligné l'importance d'initier le DevSecOps avec des équipes pilotes. Cette démarche stratégique permet de sensibiliser progressivement aux enjeux de sécurité tout en intégrant de manière efficace les pratiques sécuritaires dans les opérations quotidiennes des équipes de développement. Une telle initiation assure une transition en douceur vers une culture de sécurité omniprésente, évitant ainsi les perturbations majeures dans les flux de travail existants.
“La sécurité, ça change tout le temps ! C’est un sujet infini sur lequel la demande d’accompagnement est constante.”
- Stéphane Loesel, CTO de Fluid Topics
Un élément crucial de cette transition est le rôle des Security Champions. Sélectionnés soigneusement parmi les membres des équipes qui montrent un intérêt volontaire ou qui sont spécialement formés, ces champions agissent comme des catalyseurs pour la culture de sécurité. Leur rôle principal est de servir de relais entre les pratiques de sécurité et les équipes de développement. Ils sont chargés de promouvoir les meilleures pratiques de sécurité, d'assurer une veille constante sur les nouvelles menaces et vulnérabilités, et de sensibiliser leurs collègues aux diverses problématiques de cybersécurité. Cette démarche, comme le souligne Loesel, est un facteur déterminant pour le succès d'une implantation efficace du DevSecOps au sein des entreprises technologiques.
Dans la continuité de son intervention, Stéphane Loesel a approfondi la discussion sur l'intégration stratégique des outils de sécurité dans les processus de développement. Il a mis en exergue la variété d'outils à disposition des équipes, tels que les systèmes d'analyse des dépendances, les outils d'analyse de code, les vérificateurs de programmation et les solutions pour détecter les vulnérabilités dans les images logicielles. Loesel a insisté sur l'importance de la flexibilité dans le choix des outils, soulignant qu'il est crucial de permettre aux équipes de sélectionner ceux qui répondent le mieux à leurs besoins spécifiques. Cette approche encourage une adoption plus naturelle et une efficacité accrue des outils dans les pratiques quotidiennes.
Abordant la gestion des risques, Loesel a préconisé une approche multidimensionnelle, combinant différents outils pour une couverture de sécurité plus complète. Cette stratégie vise à créer un système de défense en profondeur, où la sécurité est renforcée à différents niveaux et à différents moments, accroissant ainsi la résilience globale du système.
En ce qui concerne l'automatisation, Loesel a apporté une perspective critique : "Attention avec l'automatisation. Il n'y a rien de magique ! Il vaut mieux disposer de plusieurs outils effectuant des séries de contrôles à différents moments, ce qui permet d'assurer une résilience plus forte", a-t-il expliqué. Cette approche fragmentée et diversifiée permet de mieux gérer les risques en évitant la dépendance à un seul système ou processus.
La mise en place de KPIs (indicateurs clés de performance) spécifiques a été soulignée comme une méthode efficace pour mesurer l'efficacité des pratiques de sécurité. Ces KPIs doivent être réalistes et alignés sur les objectifs à moyen terme, permettant aux équipes de prioriser les problèmes par importance et de régler les outils en conséquence. Le CTO a d'ailleurs mis l'accent sur la nécessité de développer la capacité à trier les problèmes, permettant aux équipes de reconnaître les situations où elles ne sont pas directement impactées et de gérer les priorités de manière appropriée.
« Les développeurs sont les meilleurs collaborateurs pour générer les problèmes de sécurité, il faut que cette composante fasse partie du métier » - Stéphane LOESEL, CTO de Fluid Topic.
Pour conclure, Stéphane LOESEL a insisté sur l'importance d'une collaboration étroite et transparente entre les équipes de sécurité et de développement. Il a encouragé les organisations à voir les équipes de sécurité non pas comme des obstacles, mais comme des mentors essentiels, guidant et soutenant les développeurs dans la mise en œuvre de pratiques de sécurité robustes et efficaces. En effet, la maîtrise de la cybersécurité est devenue une compétence incontournable pour les développeurs d’aujourd’hui.
