LIVE ACADEMY #1 “Développer les compétences au cœur de la culture DevSecOps”

le 16/11/2020 par Jérôme Blanc
Tags: Devops, Formation

Le numérique est un domaine en perpétuelle évolution, dans lequel des métiers émergent tandis que d'autres se transforment. Selon les études, 85% des emplois à l'horizon 2030 n'existent pas encore aujourd'hui. Au cœur de ces enjeux IT, l'approche DevSecOps repose sur une évolution en profondeur des modèles d'organisation silotée où les équipes développement, infrastructure et sécurité sont séparées les unes des autres.

Pour Victor Mignot, Consultant Senior, le DevOps permet d'intégrer dans le cycle de développement, le cycle de déploiement. Dans un premier temps, l'agilité a permis de réconcilier les équipes développement avec les métiers. Puis, avec le DevOps, l'agilité a été étendu jusqu'aux opérations, c'est à dire à ceux dont le métier consiste  à opérer, configurer et déployer une application une fois qu'elle a été développée.

> Replay du LIVE ACADEMY DevSecOps

Lien Youtube

> Slides du LIVE ACADEMY DevSecOps

//www.slideshare.net/slideshow/embed_code/key/h14b6q1TWj9NeD

Pourquoi faire du DevOps ?

Les métiers des études (DEV) et ceux de la production (OPS) sont historiquement des métiers séparés qui ne communiquent pas et dont les intérêts sont souvent divergents. Les premiers veulent avant tout de la rapidité et suivre les besoins du métier au plus près alors que les seconds recherchent plutôt de la stabilité. Ce "mur de la confusion" entre DEV et OPS impacte la productivité de l'entreprise et nuit au climat de collaboration, voire au bien être des collaborateurs.

Le DevOps permet de les réconcilier par des principes organisationnels, en alignant les objectifs mais aussi grâce à des innovations techniques. Le DevOps ce n'est pas que de l'architecture et des patterns ou de l'infrastructure as code, c'est aussi de la culture, de la méthode et de l'organisation. C’est aussi de la construction et du déploiement en continu.

Intérêts des pratiques DevOps

Ne plus avoir d'équipes différentes et silotées entre Dev, Exploitation et Production favorise des mises en production plus régulières qui vont permettre de gagner du temps et de la fiabilité. Les équipes sont responsables du code infrastructure, elles ont tout en mains pour rendre l'opérabilité des applications meilleures, plus fiables.

Quand on rend responsables les créateurs d'une application, ils sont en effet les plus à même non seulement de la réparer mais aussi d'automatiser les tests applicatifs afin d'eviter les tests de non regression qui, réalisés manuellement, sont sources d'erreurs.

Au final, le DevOps est un ensemble de pratiques qui vise à réduire le "Time to market" et le "Time to repair" d'une application tout en améliorant la qualité du logiciel.

Intégrer la sécurité

Le DevOps permet d'introduire de la fluidité en incorporant les développements et le déploiement dans un même cycle. Mais cette fluidité peut être fortement impactée si un audit sécurité survient en bout de chaîne. L'audit risque en effet de casser le rythme des développements et créer au mieux du stock de features.

L'approche DevSecOps essaie de résoudre ce problème en intégrant la sécurité dans le processus de livraison continue. Elle repose sur 4 piliers :

  • Placer les compétences sécurité au coeur des projets
    • Au sein de l'équipe, un "Security champion" va être le garant de la sécurité dès le début du projet
  • Faire de la sécurité plus tôt dans la chaîne de développement en continu
    • Au lieu d'avoir un audit qui arrive en bout de chaîne, on va intègrer dès le début de petites fonctionnalités de sécurité qui vont s'étoffer au fur et à mesure
  • Avoir une sécurité orientée business
    • Etre "main dans la main" avec le métier et faire de la pédagogie sur les enjeux de sécurité, voir avec lui comment intégrer des fonctionnalités de sécurité dans l'application
  • Piloter par la donnée et des tests réels qui vont permettre de savoir où sont les failles

Le parcours certifiant DevSecOps OCTO Academy

Le DevSecOps est une approche assez récente, peu de formations et d'écoles enseignent ces compétences alors même que les besoins augmentent. Quand en 2015, OCTO Technology a eu des difficultés à recruter des profils DevOps, nous avons décidé de recruter des consultants juniors ou plus expérimentés et de les former nous-mêmes à travers notre Talent Acceleration Program. Cela nous a permis de les faire monter sur des missions auxquelles ils n'auraient pas forcément eu accès, faute d'un niveau suffisant pour répondre aux besoins clients.

Le parcours certifiant que propose OCTO Academy est directement issu de ce programme conçu initialement pour les consultants OCTO. Il est construit autour de 4 thématiques :

  • Méthodologie agile
  • Les gestes de l'artisan codeur
  • Les bases du DevOps
  • L'intégration de la sécurité au cycle de développement en continu : "shift left security"

A ces thématiques s'ajoute en tant que composante constante, le savoir-être en équipe. Les formations sont dispensées par des consultants formateurs qui changent en fonction de leur expertise.

Le parcours se déroule sur 13.5 jours dont une demi-journée de validation des compétences devant jury. Il est enregistré au repertoire spécifique France compétences (N°RS5145) et peut être financé via le CPF. Le parcours peut également être personnalisé et adapté au contexte spécifique d'un client dans le cadre de demandes intra-entreprise.

En savoir plus : Présentation du parcours "DevSecOps : concevoir et industrialiser en continu un système informatique"