C’est quoi le DevSecOps ?
“Dev” pour “Development”, “Sec” pour “Security” et “Ops” pour “Operations” soit : Développement, Sécurité et Exploitation. Les trois termes montrent en effet le lien du DevSecOps avec le mouvement DevOps ainsi qu’avec le domaine de la cybersécurité. Analysons cela plus en détail.
En fusionnant les deux approches grâce à un certain nombre d’actions, notamment l’automatisation, la gestion des ressources, les indicateurs de performances, et par une nouvelle vision du travail en commun, des progrès remarquables ont été réalisés.
Toutefois, la sécurité des applications et logiciels n’a pas été originellement prise en compte dans le DevOps. Ainsi, les tests de sécurité étaient effectués à la fin du cycle de développement. Le temps était parfois trop court pour reprendre les défaillances du code et cela exposait dangereusement les clients.
En outre, depuis quelques années, la cybersécurité est plus que jamais sur le devant de la scène. Les bibliothèques et les frameworks open source deviennent de plus en plus vulnérables. Ajoutons que le RGPD (le règlement général sur la protection des données) de 2018 qui s’applique aujourd’hui à tous les organismes, oblige ces derniers à prendre en compte la confidentialité de manière plus rigoureuse.
C’est là que le DevSecOps intervient : il sécurise l’application tout au long du cycle de développement, étape par étape.
Culture
Une vision commune et volonté de travailler ensemble
Automatisation et déploiement fréquents
Lean
La gestion des ressources sans gaspillage
Mesure
mise en place d’indicateurs de performances
Share
Le partage du temps entre les acteurs et des responsabilités
Que fait un devSecOps ?
Le DevSecOps incorpore donc la sécurité au sein du DevOps en apportant à l’entreprise la culture de security as code (sécurité en tant que code). Concrètement, il utilise le “DoD Enterprise DevSecOps Reference Design” qui est un document recensant toutes les pratiques du DevSecOps en termes d’automatisation, de surveillance et de mise en place de la sécurité à tous les instants du projet.
Ils permettent entre-autre :
Il analyse le code au fur et à mesure pour éventuellement déceler une faille le plus tôt possible
Il gère les changements qui peuvent advenir
Il surveille la conformité du code à tout instant
Il agit proactivement, c’est-à-dire qu’il réfléchit en amont aux hypothétiques menaces
Il forme ses collègues à la sécurité
Pourquoi devenir devSecOps ?
De plus en plus d’entreprises mettent en place la méthode DevOps dans leur organisation. Celle-ci est assez répandue aux États-Unis mais elle commence à se développer en France au vu de son efficacité.
C’est pourquoi se lancer dans la profession de DevSecOps est un bon pari pour votre avenir. Il en existe encore peu et les sociétés se les disputent, surtout les meilleurs d’entre eux. Elles sont d’ailleurs souvent prêtes à former des DevOps déjà engagés dans un processus d’apprentissage des pratiques de cybersécurité afin qu’ils puissent parfaitement répondre à leurs besoins particuliers.
Lancez-vous donc dans l’aventure et particulièrement si vous êtes attirés par :
- la diversité ;
- les enjeux de la cybersécurité ;
- le dialogue et l’échange ;
- la résolution de problèmes ;
- les tâches d’envergure.
De ce fait, vos qualités devront être les suivantes :
- curiosité : vous aimez apprendre pour être toujours au fait des dernières avancées et des règles en vigueur ;
- pédagogie : vous travaillez en équipe et devez expliquer la démarche DevOps ainsi que les comportements nécessaires pour une bonne sécurité ;
- responsabilité : la cybersécurité est un enjeu de taille pour les entreprises et les clients ;
- polyvalence : vous êtes à l’aise à la fois en développement, en exploitation et en sécurité, comme votre nom l’indique !
DevSecOps et SecDevOps : quelles différences ?
Nous l’avons vu, le DevSecOps s’emploie à sécuriser une application à toutes les étapes de son élaboration. Néanmoins, vous avez peut-être déjà entendu parler du SecDevOps, dont le mot contient les mêmes éléments, mais dans un ordre différent. S’agit-il d’un autre métier ?
Le SecDevOps donne la priorité absolue à la sécurité à chaque instant du développement. Il prend toutes les décisions relatives à cela. Le DevSecOps, quant à lui, intègre la sécurité au sein du processus, mais fait prendre conscience à tous les membres de l’équipe de l’importance de la prise en compte de la sécurité. Pour ce dernier, la gestion du risque est partagée.
Langages de programmation
HTML, JavaScript, PHP, Python, Ruby, C, C++, Powershell, etc.
Maîtrise d'un ou plusieurs environnements de développement
IDE, Eclipse, J2EE ou ASP.
Maîtrise des serveurs d'automatisation
Jenkins, Kubernetes, etc.
Soft skills requis
Autonomie, Flexible, Capacité à résoudre des problèmes, à prioriser
Quelle formation faire pour devenir DevSecOps ?
Ce métier à la frontière entre plusieurs domaines et d’une grande responsabilité nécessite le plus souvent une formation de niveau bac+5 et une première expérience dans le domaine de l’informatique.
Rares sont les spécialités en DevSecOps. C’est pourquoi nous vous conseillons de vous tourner vers la cybersécurité, l’informatique et réseaux, l’administration système ou l’infrastructure cloud en école d’ingénieur, à l’université ou en école d’informatique. Vérifiez cependant que le diplôme préparé est reconnu par l’État.
Plusieurs développeurs full stack se perfectionnent en parallèle de leur pratique dans le DevOps et la cybersécurité.
Détails de la formationQuel salaire pour un ingénieur devOps ?
Les DevSecOps sont encore peu nombreux en France. Nous savons toutefois que le salaire des juniors est assez élevé.
En France, les postes les plus intéressants financièrement se trouvent en région parisienne. Vos autres compétences et expériences générales en informatique seront bien sûr aussi prises en compte par votre futur employeur pour évaluer votre salaire.
| PROFIL | ||
|---|---|---|
| Salaire mensuel brut | Salaire annuel brut | |
| DevSecOps junior | 3,5K€ à 4,7K€ | 42K€ à 57k€ |
| DevSecOps intermédiaire | 4,7K€ à 5,8K€ | 57K€ à 70K€ |
| DevSecOps senior | 5,8K€ à 8,3K€ | 70k€ à 100K€ |
Quelles évolutions de carrière pour Les DevSecOps ?
Le DevSecOps est déjà une évolution du DevOps. La responsabilité et la polyvalence du métier en font pour beaucoup de développeurs une fin en soi. Vous pouvez tout de même décider de naviguer entre les possibilités qui s’offrent à vous au sein du domaine de la cybersécurité :
Consultant expert SI ou de protection réseau
Expert en sécurité informatique ou en Virtualisation et Cloud Computing
Manager en gestion de crise Cybercriminalité
Maîtrise d’ouvrage des SI
Architecte de Systèmes d’Information
Responsable des services informatiques
Hacker éthique
IPSSI n’attend plus que vous !
Prenez contact tout au long de l’année pour échanger avec l’un de nos coachs et parler de votre avenir ! 🤝
Je prends contact