DevSecOps : l'union du dev, de la sécurité et l'administration informatique
Le DevSecOps vise à intégrer la sécurité au cœur du DevOps. De nombreux outils permettent de simplifier cette démarche afin de mettre en place efficacement cette discipline plurielle. Ces pratiques sont le cœur de métier de l'ingénieur DevSecOps. Plusieurs formations et certifications permettent d'exercer cette profession courtisée, dans laquelle un débutant peut prétendre à un salaire de départ élevé.
Le DevSecOps, c'est quoi ?
Le DevSecOps inclut la composante sécurité (security) dans l’approche DevOps, qui lie elle-même le développement (developement) et l’exploitation (operations).
Quels sont les bénéfices du DevSecOps ?
Dans le domaine du développement, la sécurité des produits livrés est un enjeu crucial. L’approche DevSecOps permet de garantir une sécurité optimisée dans tous les maillons de la chaîne, du développement au contexte de livraison et d’intégration continue de ces produits.
Quels sont les principaux outils de DevSecOps ?
Le DevSecOps est avant tout une approche interdisciplinaire qui englobe les domaines non cloisonnés du développement, de la sécurité, et de l’exploitation. Il intègre la sécurité des données, tant au niveau de l’application que des infrastructures, dès le début du projet. Cela passe par l’utilisation de librairies de code sécurisées, l’automatisation de tests de sécurité, la proactivité… Et l’application des bonnes pratiques d’amont en aval du projet par tous les acteurs de la chaîne.
DoD Enterprise DevSecOps Reference Design
Il s’agit du document de référence dans la démarche DevSecOps. Initiée par le département de la Défense américain, cette ressource définit l’ensemble des critères à prendre en compte pour une approche DevSecOps exhaustive et réussie. Et ce afin de permettre l’automatisation, la surveillance et l’application de la sécurité à toutes les étapes du cycle de vie d’un logiciel.
Ingénieur DevSecOps : quelles sont les formations existantes ?
Pour devenir ingénieur DevSecOps, il faut obligatoirement être issu d’une formation technique de niveau bac + 5 délivrée par une école d’ingénieur spécialisée ou une université (l’université Nice Sophia Antipolis, ou Paul-Sabatier à Toulouse par exemple).
Plusieurs spécialités peuvent mener à cette profession : cybersécurité, informatique et réseaux, télécom, administration système, technologies et infrastructure cloud…
DevSecOps : quid des certifications ?
Plusieurs organismes de formation proposent des cursus de certification DevSecOps, à des niveaux d’entrée pour le moins variés. Pour qu’elle soit reconnue et efficace en termes de compétences et d’employabilité, préférer les certifications bénéficiant d’une homologation officielle, ou bien dispensée par une entité reconnue dans ce domaine.
Quel est le salaire d'un ingénieur DevSecOps ?
Tout dépend de sa formation et de son expérience, mais un ingénieur DevSecOps débutant peut prétendre à un salaire compris entre 33 KE et 36 KE.
DevSecOps vs SecDevOps
Tout est dans le nom ! Le SecDevOps place la sécurité au premier plan, littéralement (« Sec » de « sécurité » est placé au tout début). La sécurité passe donc prioritairement par des pratiques hautement sécurisées de codage, tandis que le DevSecOps intègre la sécurité à chaque étape, du développement à la livraison et à l’intégration des produits.