Technologia : Avant d’entrer dans le vif du sujet, peut-être serait-il bon de rappeler les notions fondamentales du DevOps. Dans les grandes lignes, c’est un mouvement propre à l’ingénierie informatique dont le but est de combiner le développement logiciel (en anglais Development) avec l’administration des infrastructures informatiques (en anglais Operations). Donc, pour faire simple, faciliter les collaborations transversales pour gagner en efficacité. C’est bien ça ?
Julien Dort : Oui, le but du DevOps est de permettre de livrer un logiciel le plus rapidement possible tout en s’assurant qu’il soit qualitatif, sécuritaire, qu’il corresponde au besoin du client et qu’il ne mette pas en danger l’infrastructure informatique de la compagnie. Pour y parvenir, le DevOps repose sur cinq grands piliers : « la culture de l’entreprise », c’est-à-dire la communication entre les équipes ; « la responsabilisation des gens », l’assurance que les employés comprennent et qu’ils ont les outils pour faire leur travail, etc. ; « l’automatisation », qui est le volet le plus connu et qui vise effectivement à automatiser autant que faire se peut ; « le lean », dont l’objectif est l’optimisation des processus en limitant tout type de gaspillage (temps, ressources, compétence, etc.) ; « les mesures », pilier mal aimé mais essentiel pour établir des métriques qui vont préciser où on en est et si les changements et investissements mis en place ont les effets escomptés ; et enfin le pilier « partage » qui a pour objectif de favoriser le transfert des connaissances, les retours d’expérience, etc. Ceci, afin de permettre une transformation évolutive (scalable) à la taille de l’entreprise.
T : Maintenant que les bases sont claires parlons DevSecOps
Julien Dort : DevSecOps sert à mettre l’accent sur un point déjà présent dans le DevOps, la sécurité et la conformité. De nombreuses entreprises ont investi du temps et de l’argent dans leur transformation vers le DevOps, mais avec le recul, la communauté s’est rendu compte que par méconnaissance ou par oubli, les aspects de sécurité et de conformité n’étaient pas inclus dans cette transformation. On se retrouvait ainsi en fin de développement avec un logiciel effectivement livré plus vite, mais sur lequel les équipes responsables de la sécurité et de la conformité mettaient leur veto. Donc retour à la case départ, perte de temps… pas vraiment DevOps finalement. DevSecOps met clairement l’accent sur la sécurité et la conformité, sans oublier le reste.
T : Concrètement, comment cela se traduit-il pour les équipes ?
Julien Dort : Souvent, le point principal est la communication. On peut, par exemple, préciser aux équipes de développement quels sont les spécialistes en sécurité qu’ils peuvent contacter pour du soutien. Il faut aussi les former et les encourager à se poser des questions de sécurité en amont. Nous devons aussi travailler du côté des équipes de sécurité et de conformité devant la nécessité de faire de la formation et de la prévention. De façon plus générale, il faut faire en sorte, qu’au sein de la compagnie, chacun prenne conscience de l’importance de la sécurité et de la conformité tout au long du cycle de développement.
T : Sécurité et conformité, quelle est la différence ?
Julien Dort : La conformité ce sont les règlementations imposées par les gouvernements ou des organismes reconnus. La conformité c’est un peu une façon d’encourager les entreprises à faire de la sécurité.
T : Est-ce que la création du DevOps Institute s’inscrit dans cette logique ?
Julien Dort : En quelque sorte, son but est de créer une communauté de personnes gravitant dans tous les domaines impactés par le DevOps. L’objectif est de générer de l’entraide, des présentations, des retours d’expérience ou encore des formations sur des aspects propres au DevOps. Pour les aspects de formation, les personnes qui souhaitent donner les formations doivent être officiellement certifiées par l’institut, pour justement garantir le maintien de la pratique et sa conformité aux principes énoncés. Chaque année, l’institut propose de nouvelles formations, comme la formation DevSecOps Foundation qui est une nouveauté en 2022. C’est pourquoi, les supports et l’examen pour la formation DevSecOps Foundation sont actuellement uniquement en anglais. Une traduction française sera peut-être disponible ultérieurement suivant le succès de la certification.
T : À qui s’adresse la formation DevSecOps Fondation ?
Julien Dort : De préférence à des gens qui ont des bases informatiques et qui gravitent dans ce milieu. Attention, ce n’est pas une formation pour devenir un expert en cybersécurité, mais pour avoir une bonne compréhension de la sécurité et de la conformité. Sans trop rentrer dans les détails, je dirais que la formation DevSecOps Foundation permet d’avoir une bonne compréhension du paysage des cybermenaces, de savoir comment s’en prémunir, d’identifier qui dans l’entreprise doit être impliqué, de faire un état des lieux pour mesurer où en est l’organisation et les progrès à venir, d’aborder l’automatisation, la conformité et aussi de savoir comment diffuser toutes ces notions au sein de la compagnie en fonction de la taille de cette dernière.
T : La certification est-elle permanente ?
Julien Dort : Non, comme une grande partie des certifications en informatique, celle-ci est valable 2 ans. Pour la renouveler, il existe deux méthodes, soit repasser l’examen après deux années, soit accumuler des points que vous gagnez en participant à des webinaires, des conférences, etc. Le but est de s’assurer que la personne certifiée reste à jour dans ses connaissances.
Pour aller plus loin :
DevSecOps Foundation : stratégies de sécurité et avantages pour votre organisationContactez-nous
Pour en savoir plus sur nos nouveaux services ou nous parler de vos besoins en développement de compétences, contactez nos spécialistes en formation au 514 380-0380 ou par courriel : formation@technologia.ca.
