Le rapport de cette année a pour sous-titre : “ Créer une culture d’entreprise permettant d'améliorer de façon notable la posture sécurité de votre organisation ”.

La jeunesse des industries DevOps et DevSecOps rend difficile l’accès à de bonnes pratiques avérées. Toutefois, les objectifs au cœur de la philosophie DevSecOps restent les mêmes : réduire les risques, accélérer le rythme des sorties et faire gagner du temps aux développeurs.

Voici 5 points clés à retenir :

#1 Faire le bon choix de KPIs DevSecOps

Les changements entre 2021 et 2022 sont intéressants. En ce qui concerne la réduction des risques, l’indicateur qui a le plus d’importance est, sans surprise, “ la réduction du nombre total de vulnérabilités ”. Il est suivi de l'amplitude de la “ couverture des tests automatisés ”. Cet indicateur passe de 28,4 % à 45,21 % cette année. 

Pour la vitesse des sorties, c’est l'indicateur “ modification du temps d'exécution ” qui s’envole, passant de 20,6 % en 2021 à 45,1 % cette année. Il montre la rapidité des cycles de sorties et les participants ont déclaré aller en production une ou plusieurs fois par semaine. 

Parmi les quatre indicateurs relatifs au gain de temps, celui qui se démarque le plus cette année est le “ coût de remédiation des découvertes de l’audit ”, passant de 8,6 à 17,8 %.

#2 Le ROI et le gain de temps du DevSecOps

Selon les personnes interrogées,  le management buy-in est le plus grand facteur de succès des programmes DevSecOps implémentés. Quantifier la valeur du temps gagné en neutralisant les vulnérabilités lors des phases de développement et de test est un indicateur qui peut être utilisé dans le cadre du rapport sur le ROI, en cas d’absence de management buy-in.

Le souci ? Il existe très peu de données comparant le temps nécessaire à la réparation d’une vulnérabilité moyenne une fois le produit en phase de production par rapport à son identification durant la phase de codage et de test. Il est plus difficile et plus onéreux de réparer une telle faille une fois le code parti en production.

À la question “ quel est le temps moyen de résolution d’une vulnérabilité dans des systèmes déjà disponibles ? “ 27,3 % des sondés ont répondu 2 à 7 jours. À la question concernant le temps moyen de réparation par le QA une fois le produit sorti, 11 % des personnes ont répondu plus de dix fois ce temps, 33 % ont répondu dix fois ce temps et 28 % ont déclaré cinq fois ce temps.

#3 Le DevSecOps, la clé du succès

D'après un rapport de Cloud Security Alliance sorti en 2021, 30 % des professionnels de la sécurité déclarent avoir “ entièrement implémenté le DevSecOps ”. Cela sous-entend que les 70 %  restants y travaillent toujours. SANS a demandé aux participants quels sont les cinq facteurs ayant contribué le plus au succès de leurs programmes DevSecOps :

- Management buy-in
- Amélioration de la communication entre devs, ops et membres des équipes de sécurité 
- Automatisation des builds, tests et déploiements
- Intégration de tests de sécurité automatisés aux outils des développeurs et ingénieurs
- Dev/Ingénieur buy-in

Parmi les autres critères ayant fait un bond notable entre 2021 et 2022, on remarque que la " définition claire des succès et possibilité de mesures (métriques) ", se démarque, passant de 26,7 à 36 %.

#4 Vérification et application automatisées des règles de conformité

Le développement d’une application comprend également une forte implication du respect des règles de conformité. Quelle que soit la norme de conformité que vous souhaitez respecter, pensez à prévoir des étapes de contrôle et de vérification dans votre process DevSecOps.

La découverte des problèmes relatifs à la conformité lors du développement ou de l’étape QA à travers le DevSecOps est moins onéreuse qu’un mauvais audit ou des retards de sortie en raison de violation de la conformité. Le nombre de sondés qui ont vérifié/appliqué 100 % de leurs politiques de conformité est passé de 5,1 à 18,4 % entre 2021 et 2022. 

#5 Outils et méthodes de testing les plus utiles     

Dans cette étude, les participants ont été interrogés sur les outils et les pratiques de tests de sécurité les plus utiles. Parmi les 26 propositions, cinq se sont démarquées :

- Web Application Firewalls (WAF) (84 %)
- Periodic Vulnerability Scanning (83,3 %)
- Secure Coding Training For Developers and Engineers (82,3 %)
- Automated State Analysis (82 %)
- Continuous Vulnerability Scanning (79 %)

---

Ce rapport participe à l’établissement de bonnes pratiques pour l’industrie, contribuant ainsi aux trois missions principales de la philosophie DevSecOps : la réduction des risques, l’accélération du rythme des sorties et le gain de temps pour les développeurs.

Ces pratiques vous inspirent-elles ? Allez-vous provoquer de grands changements au sein de votre organisation ?