Le champion sécurité, effet de posture ou effet de levier ?
L’accélération des projets de transformation numérique dans les organisations se matérialise notamment par l’arrivée massive du Cloud public et des pratiques DevOps dans les entreprises. Par exemple, en 2020, les pratiques DevOps ont été mises en place dans 70% des équipes de développement. En 2019, ce chiffre était de 20%. Et le marché des services de cloud public devrait progresser de près de 20% en 2021 selon Gartner.
La généralisation du DevOps et du Cloud public oblige également les pratiques et la fonction sécurité à évoluer : de nouvelles menaces apparaissent, de nouvelles connaissances techniques et fonctionnelles sont requises, l’implémentation de la sécurité emprunte de nouveaux chemins. Plus de simplicité, d’automatisation, évolution des zones de responsabilité avec une tendance à la décentralisation… tout ceci impose l’émergence de nouvelles pratiques comme le DevSecOps.
Parmi les nouveaux moyens constitutifs des pratiques DevSecOps figure en bonne place le rôle de Champion Sécurité. Rôle qui existait bien avant la transformation numérique, mais qui évolue au rythme des révolutions techniques.
Si on se réfère à la définition du mot “champion”, il s’agit du défenseur attitré d’une cause. On pourrait donc considérer que le Champion Sécurité porte la conscience sécurité au sein des équipes, et en dehors. A l’aune de l’explosion du Cloud et du Devops, on peut légitimement se demander : quels sont les avantages et inconvénients d’une approche DevSecOps portée par des Champions Sécurité, quels moyens lui attribuer et est-ce la cible finale ou une des étapes vers plus et mieux de sécurité dans les projets et les organisations ?
Pour débattre de ce sujet, nous avons réuni trois intervenants lors d’un webinar :
- Amine Djedid, responsable des équipes DevSecOps chez Engie Digital (voir son interview ici)
- Adrien Nouvel, DevOps chez Preligens
- Clément Cunin, Développeur Java et architecte Continuous Delivery chez Devoteam Revolve
Ils partagent leurs retours d’expérience sur les apports de ce rôle au sein des équipes DevOps.
Avantages et inconvénients
Clément Cunin constate que dans les équipes de migration vers le Cloud, qui sont souvent de taille petite ou moyenne, le Champion Sécurité permet un effet de levier. Il devient un relais auprès des équipes métier, et permet d’atteindre les responsables des très nombreuses applications à migrer dans le Cloud. En d’autres termes, le Champion Sécurité contribue à faire émerger des ambassadeurs au sein des différentes équipes impliquées dans les migrations Cloud. Cette incarnation permet aussi de contrebalancer une approche de la sécurité qui ne se ferait qu’à travers les outils. L’approche outils est nécessaire mais non suffisante, et le Champion Sécurité apporte à la fois un côté plus humain et plus proactif dans la démarche.
Pour Amine Djedid, l’intérêt du rôle est de se situer au-delà des politiques de sécurité, et d’accompagner les équipes au quotidien dans leurs réalisations. Le Champion Sécurité contribue activement à insuffler la sécurité “by design”, et à amener une réponse graduée et adaptée par la connaissance du contexte et des problématiques de l’équipe. Il a la visibilité sur les étapes de sécurité nécessaires à la réalisation d’une nouvelle fonctionnalité. La proximité avec les équipes qui sont dans la réalisation est donc un premier avantage fort.
Autre avantage évoqué par Adrien Nouvel, la possibilité pour le Champion Sécurité d’avoir une vision transverse aux différents projets, qui va lui permettre d’homogénéiser l’approche, voire de standardiser les outils. Cependant, Adrien note un point de vigilance sur le risque de vouloir imposer le plus haut niveau de sécurité, au risque de ralentir ou bloquer le projet. Toutes les problématiques de sécurité ne peuvent pas reposer sur ce seul rôle, la concentration de savoir en un seul point n’étant jamais bonne.
D’autant plus, souligne Amine Djedid, que le Champion Sécurité n’est pas nécessairement un professionnel de la sécurité, mais plutôt un facilitateur; il souhaite apporter sur son périmètre projets une réponse aux besoins sécurité, et à ce titre il vient en appui d’un dispositif sécurité plus global et plus expert. Il ne porte pas non plus la responsabilité des choix sécurité, qu’il n’a d’ailleurs pas tenu de faire seul et/ou à la place de l’équipe projet. La responsabilité de choix et de mise en œuvre doit rester collective, au niveau de l’équipe réalisatrice.
Les moyens
Selon Clément, il faut avant tout définir clairement ce qui est attendu du champion au sein de l’organisation. Est-il un simple relais, un conseil, ou au contraire chargé de la sécurité de certains périmètres; auquel cas il faut l’outiller en conséquence pour respecter le mandat confié. Il a avant tout besoin d’un cadre, d’outils, et si nécessaire de capacités d’intervention hiérarchiques.
Du côté d’Engie Digital, Amine Djedid confirme l’importance des outils, mais souligne l’importance du choix de la personne pour incarner le champion. Savoir-être, capacité de sensibilisation et vocation à accompagner les équipes…le facteur humain est un élément clé du succès de sa mission. Autour du champion, on trouvera des experts pour l’accompagner – son avis est consultatif, il a aussi le droit à l’erreur, et le droit de remettre ses décisions à plus tard après consultation.
Adrien Nouvel confirme également le fait que son avis est consultatif : le champion apporte du conseil sur ce qui est fait, ce qui pourrait être amélioré. Il ne va pas nécessairement travailler sur l’implémentation des correctifs de sécurité, mais il doit pouvoir signaler les pratiques qui ne conviennent pas et avoir une position de conseil.
Un engagement limité dans le temps
Pour tous les intervenants du webinar, la question de la limite de l’engagement dans le temps se pose. Comment faire évoluer le rôle en fonction de la montée en maturité des équipes, et donc progressivement libérer le champion ? Mettre en place un champion sécurité n’est pas une fin en soi, mais un des moyens de mettre en place le DevSecOs à plus grande échelle.
Pour Clément, si le champion est au départ un relais dans les équipes, chacun doit monter en compétence et à terme faire de la sécurité by design. C’est un objectif à avoir à l’esprit à chaque instant, si on veut sécuriser son produit. Dans le sillage des actions du Champion Sécurité, tous doivent s’imprégner des bonnes pratiques.
Quand cela est possible, Amine préconise d’avoir une roadmap pour le rôle du champion, avec des étapes clés et une vision claire de la fin de mission ; ceci tout autant pour le rassurer que pour anticiper sa charge et choisir les sujets sur lesquels il sera plus actif. A noter également l’apparition du rôle de SRE au sein des équipes, autre levier dans la sécurisation du service, et un candidat tout désigné pour incarner le Champion Sécurité.
En conclusion
Quelles premières actions pour lancer cette démarche ?
Il est essentiel de commencer par discuter des risques et menaces qui pèsent sur l’organisation, de partager cette vision avec tous, et de relativiser leur importance en fonction du contexte. Par exemple, dans le milieu bancaire, la fuite d’informations est le premier risque contre lequel se prémunir. Il faut donc savoir contre quoi se protéger, et que tous partagent cet objectif. Ensuite, on listera les actions les plus simples à mettre en œuvre rapidement, et on constituera en quelque sorte une trousse à outils incluant des solutions pour chaque risque identifié. Et c’est en s’appuyant sur cette trousse à outils que le Champion sécurité trouvera le discours, les exemples et les méthodes qui lui permettront de porter les messages sécurité au sein de ses projets.
Amine souligne également l’importance d’un leadership fort sur la sécurité, ce qui suppose un support du côté du management. Les enjeux de sécurité doivent figurer sur les roadmaps métier, le sujet n’est pas que technologique, il faut aussi en faire un vecteur de création de valeur. En fait, il doit s’agir d’un non-sujet : il ne doit pas y avoir de débat et les convictions de sécurité doivent être largement partagées et valorisées.
Enfin, le terme de Champion Sécurité est certainement à revoir. Par définition, le champion a déjà réussi, et le terme s’inscrit dans une logique très verticale – ce qui pourrait nuire à l’objectif. Le terme de référent ou ambassadeur de sécurité pourrait être plus adapté aux enjeux de cette mission.