“Dev” pour “Development”, “Sec” pour “Security” et “Ops” pour “Operations” soit : Développement, Sécurité et Exploitation. Les trois termes montrent en effet le lien du DevSecOps avec le mouvement DevOps ainsi qu’avec le domaine de la cybersécurité. Analysons cela plus en détail.
En fusionnant les deux approches grâce à un certain nombre d’actions, notamment l’automatisation, la gestion des ressources, les indicateurs de performances, et par une nouvelle vision du travail en commun, des progrès remarquables ont été réalisés.
Toutefois, la sécurité des applications et logiciels n’a pas été originellement prise en compte dans le DevOps. Ainsi, les tests de sécurité étaient effectués à la fin du cycle de développement. Le temps était parfois trop court pour reprendre les défaillances du code et cela exposait dangereusement les clients.
En outre, depuis quelques années, la cybersécurité est plus que jamais sur le devant de la scène. Les bibliothèques et les frameworks open source deviennent de plus en plus vulnérables. Ajoutons que le RGPD (le règlement général sur la protection des données) de 2018 qui s’applique aujourd’hui à tous les organismes, oblige ces derniers à prendre en compte la confidentialité de manière plus rigoureuse.
C’est là que le DevSecOps intervient : il sécurise l’application tout au long du cycle de développement, étape par étape.
Culture
Une vision commune et volonté de travailler ensemble
Automatisation et déploiement fréquents
Lean
La gestion des ressources sans gaspillage
Mesure
mise en place d’indicateurs de performances
Share
Le partage du temps entre les acteurs et des responsabilités
Le DevSecOps incorpore donc la sécurité au sein du DevOps en apportant à l’entreprise la culture de security as code (sécurité en tant que code). Concrètement, il utilise le “DoD Enterprise DevSecOps Reference Design” qui est un document recensant toutes les pratiques du DevSecOps en termes d’automatisation, de surveillance et de mise en place de la sécurité à tous les instants du projet.
Ils permettent entre-autre :
Il analyse le code au fur et à mesure pour éventuellement déceler une faille le plus tôt possible
Il gère les changements qui peuvent advenir
Il surveille la conformité du code à tout instant
Il agit proactivement, c’est-à-dire qu’il réfléchit en amont aux hypothétiques menaces
Il forme ses collègues à la sécurité
De plus en plus d’entreprises mettent en place la méthode DevOps dans leur organisation. Celle-ci est assez répandue aux États-Unis mais elle commence à se développer en France au vu de son efficacité.
C’est pourquoi se lancer dans la profession de DevSecOps est un bon pari pour votre avenir. Il en existe encore peu et les sociétés se les disputent, surtout les meilleurs d’entre eux. Elles sont d’ailleurs souvent prêtes à former des DevOps déjà engagés dans un processus d’apprentissage des pratiques de cybersécurité afin qu’ils puissent parfaitement répondre à leurs besoins particuliers.
Lancez-vous donc dans l’aventure et particulièrement si vous êtes attirés par :
De ce fait, vos qualités devront être les suivantes :
Nous l’avons vu, le DevSecOps s’emploie à sécuriser une application à toutes les étapes de son élaboration. Néanmoins, vous avez peut-être déjà entendu parler du SecDevOps, dont le mot contient les mêmes éléments, mais dans un ordre différent. S’agit-il d’un autre métier ?
Le SecDevOps donne la priorité absolue à la sécurité à chaque instant du développement. Il prend toutes les décisions relatives à cela. Le DevSecOps, quant à lui, intègre la sécurité au sein du processus, mais fait prendre conscience à tous les membres de l’équipe de l’importance de la prise en compte de la sécurité. Pour ce dernier, la gestion du risque est partagée.
Langages de programmation
HTML, JavaScript, PHP, Python, Ruby, C, C++, Powershell, etc.
Maîtrise d'un ou plusieurs environnements de développement
IDE, Eclipse, J2EE ou ASP.
Maîtrise des serveurs d'automatisation
Jenkins, Kubernetes, etc.
Soft skills requis
Autonomie, Flexible, Capacité à résoudre des problèmes, à prioriser
Ce métier à la frontière entre plusieurs domaines et d’une grande responsabilité nécessite le plus souvent une formation de niveau bac+5 et une première expérience dans le domaine de l’informatique.
Rares sont les spécialités en DevSecOps. C’est pourquoi nous vous conseillons de vous tourner vers la cybersécurité, l’informatique et réseaux, l’administration système ou l’infrastructure cloud en école d’ingénieur, à l’université ou en école d’informatique. Vérifiez cependant que le diplôme préparé est reconnu par l’État.
Plusieurs développeurs full stack se perfectionnent en parallèle de leur pratique dans le DevOps et la cybersécurité.
Détails de la formationLes DevSecOps sont encore peu nombreux en France. Nous savons toutefois que le salaire des juniors est assez élevé.
En France, les postes les plus intéressants financièrement se trouvent en région parisienne. Vos autres compétences et expériences générales en informatique seront bien sûr aussi prises en compte par votre futur employeur pour évaluer votre salaire.
PROFIL | ||
---|---|---|
Salaire mensuel brut | Salaire annuel brut | |
DevSecOps junior | 3,5K€ à 4,7K€ | 42K€ à 57k€ |
DevSecOps intermédiaire | 4,7K€ à 5,8K€ | 57K€ à 70K€ |
DevSecOps senior | 5,8K€ à 8,3K€ | 70k€ à 100K€ |
Le DevSecOps est déjà une évolution du DevOps. La responsabilité et la polyvalence du métier en font pour beaucoup de développeurs une fin en soi. Vous pouvez tout de même décider de naviguer entre les possibilités qui s’offrent à vous au sein du domaine de la cybersécurité :
Consultant expert SI ou de protection réseau
Expert en sécurité informatique ou en Virtualisation et Cloud Computing
Manager en gestion de crise Cybercriminalité
Maîtrise d’ouvrage des SI
Architecte de Systèmes d’Information
Responsable des services informatiques
Hacker éthique
Prenez contact tout au long de l’année pour échanger avec l’un de nos coachs et parler de votre avenir ! 🤝
Je prends contact