Qu'est-ce que la sécurité axée sur le développeur ?

Selon une étude récente de Forrester Research, intitulée « Breaches By The Numbers: Adapting to Regional Challenges Is Imperative » (12 avril 2022), 63 % des entreprises ont été victime d'une violation au cours de l'année écoulée, soit une hausse de 4 % par rapport à l'année précédente. Et il est important de bien comprendre que le code est désormais la cible principale, plutôt que l'infrastructure. Pour compliquer encore davantage les choses, certaines estimations suggèrent que près de 60 % des applications sont constituées de code open source, tandis que d'autres avancent des estimations de l'ordre de 80 voire 90 %. Le code open source est par nature plus susceptible de contenir des vulnérabilités et du code malveillant que le code généré de A à Z. Mais c'est un choix tout à fait compréhensible pour les développeurs débordés qui essaient de livrer un code de qualité dans des délais de plus en plus serrés.

Pendant des années, la sécurité était gérée par une entité distincte au sein des entreprises, qui intervenait une fois le code validé. Elle identifiait des problèmes de sécurité et imposait des modifications à des développeurs souvent réticents, déjà concentrés sur leur prochain projet. La sécurité était plus qu'une réflexion après coup, il s'agissait d'une expérience imposée d'en haut par des personnes qui étaient très éloignées des défis du développement. Il n'est pas difficile de comprendre pourquoi cette approche a été une source majeure de frustration pour toutes les personnes impliquées.

L'objectif de l'approche DevSecOps est de s'appuyer sur le démantèlement des silos, amorcé lors de la mise en œuvre des pratiques DevOps. Désormais, les équipes de développement, des opérations et de la sécurité travaillent en étroite collaboration. Il est encore tôt, mais notre enquête Global DevSecOps 2022 montre des signes prometteurs : près de 29 % des professionnels de la sécurité déclarent faire désormais partie d'une équipe de sécurité interfonctionnelle, tandis que 57 % des membres des équipes de sécurité déclarent que leur entreprise a déjà décalé la sécurité en amont ou prévoit de le faire cette année.

Des points de friction subsistent entre les équipes de développement et les équipes de sécurité, mais certains signes indiquent que les relations s'améliorent. En 2022, moins de professionnels de la sécurité signalent des vulnérabilités identifiées à la fin du cycle du développement logiciel ou des difficultés à convaincre les développeurs de prévenir les risques de sécurité.

Du côté des développeurs, plus de la moitié d'entre eux déclarent être « entièrement responsables » de la sécurité au sein de leur organisation, tandis que 39 % estiment partager cette responsabilité avec d'autres membres d'équipe.

Pour briser ce cercle vicieux, les experts estiment qu'il est temps d'envisager une sécurité contextuelle ou axée sur le développeur. En un mot, la sécurité axée sur le développeur donne au codeur accès à un outil de sécurité « convivial pour les développeurs » dans l'IDE. Cet outil permet aux développeurs de trouver et de résoudre les problèmes de sécurité en toute simplicité. Dans l'idéal, ces contrôles de sécurité sont automatisés. Les développeurs, qui ont déjà fort à faire, n'ont alors pas à penser aux exigences de sécurité pour créer du code sécurisé : ce processus se déroule naturellement dans le cadre du processus de codage.

La clé du succès pour la sécurité axée sur le développeur repose sur un changement de perspective des deux côtés. Les professionnels de la sécurité doivent se rappeler que les développeurs prennent en charge de nombreuses tâches (codage, tests, sécurité et même certaines fonctions opérationnelles). Il est essentiel que les équipes de sécurité passent du temps à comprendre les tâches des développeurs, voire même à apprendre à coder, afin de fournir les formations, l'encouragement et l'empathie nécessaires. En parallèle, les développeurs doivent être ouverts à un changement de processus et contribuer pleinement et volontairement à la sécurité du code.

L'incorporaton de la sécurité au niveau du développement, le mélange des compétences au sein des équipes et la création d'un environnement de travail où les responsabilités et la prise de décision sont partagées de manière égale contribueront grandement au succès de la sécurité axée sur le développeur.