Pour construire un logiciel sécurisé, la culture d'équipe compte plus que la technologie,

Selon la version 2022 du rapport State of DevOps

Google a récemment publié les résultats du rapport 2022 Accelerate State of DevOps. Cette année, le rapport s'est concentré sur la sécurité, en mettant l'accent sur la chaîne logistique des logiciels. Le but était de mieux cerner la relation entre la sécurité et le DevOps. Le rapport a révélé une large adoption des pratiques inspectées, les organisations qui ont une culture de confiance élevée et de faible blâme étant en tête pour les pratiques opérationnelles et de sécurité. Les auteurs ont également constaté une augmentation des mauvais résultats, qui passent de 7 % en 2021 à 19 % cette année.

Le rapport Accelerate State of DevOps est publié chaque année depuis 2014 par l'équipe DORA (DevOps Research and Assessment) de Google. L'équipe dit avoir interrogé 33 000 praticiens dans le monde entier depuis 2014, couvrant tous les principaux secteurs d'activité. Cette année, le rapport Accelerate State of DevOps se base sur les résultats d'une enquête menée auprès de 1350 professionnels - dont 68 % travaillent dans le développement, l'ingénierie ou les opérations et infrastructures informatiques - issus d'organisations bien équilibrées entre les plus grandes (avec plus de 10 000 employés) et les petites (20-99 employés).


L'édition de cette année fait état d'une baisse de ce que l'équipe appelle la "performance opérationnelle des logiciels" depuis l'année dernière, d'une augmentation de l'utilisation du cloud et du fait que le CI/CD (Continuous Integration/Continuous Delivery) est essentiel à la sécurité des logiciels. Les chercheurs concluent également que pour développer des logiciels sécurisés, une forte culture de collaboration est plus importante que n'importe quelle caractéristique technique. Voici ci-dessous les points de l'édition 2022 du rapport Accelerate State of DevOps de Google.

Sécurité

L'équipe a poursuivi ses recherches en 2021 sur la sécurité de la chaîne logistique logicielle en examinant les pratiques techniques qui améliorent la sécurité de la chaîne logistique logicielle et les pratiques non techniques qui ont un impact sur la capacité d'une organisation à exceller dans la sécurisation de sa chaîne logistique logicielle. Elle s'est appuyée sur deux frameworks pour orienter ses recherches : Supply Chain Levels for Software Artifacts (SLSA) et Secure Software Development Framework (SSDF) du NIST. Les principales conclusions dans ce domaine sont :

• le virage à gauche (shifting left) en matière de sécurité est une pratique largement adoptée. L'étude montre que deux tiers des personnes interrogées poursuivent activement la sécurisation de la chaîne logistique logicielle en intégrant la sécurité de manière transparente dans le processus de développement ;
• la culture est le principal moteur de l'adoption des pratiques de sécurité. On pourrait s'attendre à ce que la technologie soit le principal moteur, mais les recherches ont montré qu'une culture organisationnelle générative (par exemple, orientée vers la performance, hautement coopérative, partageant les risques) conduit à des pratiques logicielles plus saines ;
• les pratiques techniques autour du CI/CD permettent de prédire le succès en matière de sécurité. Les entreprises qui utilisent le contrôle des sources, l'intégration continue (CI) et la livraison continue (CD) ont des pratiques SLSA mieux établies. Ces pratiques transfèrent la sécurité aux développeurs et garantissent une analyse cohérente de la sécurité ;
• le cloud permet des pratiques logicielles sécurisées. Les cinq caractéristiques du cloud computing définies par le NIST permettent l'adoption réussie de la sécurité de la chaîne logistique logicielle qui, à son tour, prédit une meilleure performance organisationnelle.
  

« Nous avons constaté que le principal facteur prédictif des pratiques de sécurité en matière de développement d'applications d'une organisation était culturel, et non technique. Les cultures fondées sur la confiance et le blâme, et axées sur la performance, étaient 1,6 fois plus susceptibles d'adopter des pratiques de sécurité émergente supérieures à la moyenne que les cultures fondées sur la confiance et le blâme, et axées sur le pouvoir ou les règles », indique le rapport. Puisque la culture collaborative est également alignée sur d'autres aspects des équipes logicielles performantes, c'est peut-être le message clé ici.

S'il a un problème, il est préférable de régler d'abord la culture organisationnelle et l'amélioration des performances des développeurs, y compris la sécurité, suivra. « Les individus et les interactions priment sur les processus et les outils », disait le Manifeste Agile en 2001, et il semble que cela n'ait pas changé. En outre, le rapport ajoute que les entreprises qui donnent la priorité à la sécurisation de la chaîne d'approvisionnement des logiciels et qui excellent dans ce domaine connaissent moins d'interruptions de service, anticipent moins de violations de la sécurité et affichent des niveaux élevés de performance.


Les données ont aussi montré que grâce à l'utilisation de pratiques modernes telles que l'intégration continue, les équipes peuvent améliorer leur posture de sécurité et même amplifier l'impact positif de ces pratiques de sécurité sur les mesures de livraison de logiciels (MTTR, fréquence de déploiement, délai de rétablissement du service) et les performances organisationnelles globales.

Culture

Comme souligné ci-dessus, le plus grand prédicteur des pratiques de sécurité du développement d'applications est l'adoption d'une culture organisationnelle générative basée sur le partage des risques et des informations. De plus, l'étude semble indiquer que les éléments de ce type de culture conduisent à une meilleure performance organisationnelle globale. La recherche a montré qu'une performance organisationnelle élevée peut être atteinte en favorisant des environnements qui sont :

• solidaires[/B] : selon le rapport, les équipes qui se sentent soutenues et qui bénéficient de l'appui de la direction (par exemple, un soutien financier plus important, une plus grande allocation de ressources, des parrainages, etc.) sont associées à des organisations très performantes ;
• stables : les équipes dont la composition n'a pas beaucoup changé au cours des 12 derniers mois sont plus susceptibles de faire partie d'organisations très performantes ;
• souples : les organisations qui offrent une plus grande flexibilité quant au lieu de travail - à distance, en personne ou hybride - sont globalement plus performantes.
  

Cette année encore, l'équipe s'est penchée sur l'épuisement professionnel et a élargi le champ de l'étude pour comprendre quels éléments de la culture contribuent à réduire les niveaux d'épuisement. Elle a constaté que la culture générative, la stabilité de l'équipe et la flexibilité du travail contribuaient toutes à une réduction de l'épuisement professionnel chez les employés.

Cloud

Dans l'édition 2022 du rapport Accelerate State of DevOps de Google, l'équipe indique que l'utilisation du cloud public a augmenté de 36 % par rapport à 2021, tandis que les entreprises qui ne déclarent aucune utilisation du cloud sont en baisse de 50 %. L'utilisation du cloud hybride est en hausse de 25 %. En outre, le rapport note que sans surprise, l'utilisation du cloud computing a été associée à une meilleure performance organisationnelle. « Les personnes interrogées qui ont utilisé le cloud étaient 14 % plus susceptibles de dépasser les objectifs de performance de l'organisation », indiquent les chercheurs.


L'équipe rappelle qu'au cours des années précédentes, elle a constaté que ce n'était pas "l'utilisation du cloud" en soi qui conduisait à la performance organisationnelle, mais plutôt la réalisation des cinq caractéristiques essentielles du cloud computing : notamment libre-service à la demande, large accès au réseau, mise en commun des ressources, élasticité rapide et service mesuré. Cette année, elle a constaté que le cloud computing permettait des choses comme la fiabilité, la livraison continue et l'amélioration de la sécurité de la chaîne d'approvisionnement, qui sont les moteurs de la r...