Si la sécurité est un sport d’équipe; pourquoi le département chargé de la sécurité, fait-il cavalier seul dans de nombreuses entreprises ?
VMware a demandé à Forrester Consulting d’explorer l’état actuel de la dynamique qui anime les relations entre les équipes Informatique, Sécurité et Développement, dans le rapport « Bridging the Developer and Security Divide ».
La problématique : un manque d’alignement des équipes techniques
Les professionnels de la sécurité veillent à assurer la sécurité au sein de l’entreprise. Or, les développeurs sont souvent écartés des processus de planification de la sécurité. Alors que ce sont eux qui seront chargés de mettre ces procédures en application. Ce qui ne fait qu’exacerber des rapports déjà tendus.
Seul un développeur sur cinq est tout à fait d’accord pour dire qu’il comprend les règles de sécurité auxquelles il doit se conformer. Tandis que plus de la moitié des développeurs interrogés indiquent être complètement écartés des prises de décisions concernant les règles de sécurité; alors qu’elles ont un impact considérable sur leur rôle.
Les entreprises au sein desquelles les équipes Sécurité et Développement entretiennent de bonnes relations, peuvent réduire de cinq jours par version le cycle de vie de développement de logiciel par rapport à celles dont les équipes sont cloisonnées. Ce qui montre tout l’enjeu en matière de rapidité de mise sur le marché et d’avantage concurrentiel.
Près des trois quarts des personnes interrogées reconnaissent que depuis deux ans, leurs dirigeants cherchent davantage à tisser un lien plus étroit entre les équipes Développement et Sécurité. Mais les rapports restent tendus. Un décideur sur trois a déclaré que les équipes au sein de son entreprise ne collaborent pas efficacement. Ou ne font pas d’efforts pour nouer des relations plus étroites entre les équipes Sécurité et Développement. Or, les rôles mal définis des équipes de développement, le manque de communication entre les équipes et les conflits de priorités nuisent fortement à la collaboration.
52 % des développeurs estiment que les règles de sécurité brident leur innovation.
La perception de la sécurité doit changer
Les entreprises continuent de considérer la sécurité comme un obstacle. Et 52 % des développeurs estiment que les règles de sécurité brident leur innovation. Un changement de perception plus large s’impose donc au sein des équipes techniques. Plutôt que de la considérer comme l’équipe qui n’intervient que pour corriger les violations et les failles de sécurité, ou comme un frein à l’innovation, il convient d’intégrer pleinement l’équipe de sécurité. Les effectifs, les processus et les technologies.
La sécurité doit être le fruit d’un effort de collaboration avec les informaticiens et les développeurs pour assurer la protection des Clouds, des applis et de toute l’infrastructure numérique. Cela impose de forger une culture dans laquelle toutes les équipes partagent des intérêts et des objectifs communs. La valeur ajoutée pour l’entreprise est considérable lorsque les informaticiens, les équipes chargées de la sécurité et les développeurs participent tous à la prise de décision, à la conception et à la mise en œuvre.
Récolter les fruits des efforts
Une collaboration des équipes basée sur des priorités communes et un engagement partagé contribuera à améliorer les relations. Des progrès ont d’ailleurs déjà été réalisés en ce sens. Il est intéressant de noter que plus de la moitié des personnes interrogées s’attendent à ce que les équipes de sécurité et de développement soient unifiées d’ici trois ans. Et 42 % pensent que la sécurité sera davantage intégrée dans le processus de développement. Il est de plus en plus reconnu que l’alignement des différentes équipes permet aux entreprises de réduire les silos (71 %). De créer des applications plus sécurisées (70 %). Et de gagner en agilité pour adopter de nouveaux workflows et technologies (66 %).
Principales recommandations
- Développer une vision globale. Pour réduire les conflits de priorités et autonomiser les équipes avec les outils et processus dont elles ont besoin.
- Intégrer des partisans de la sécurité dans les équipes de développement. Plutôt que de faire peser une pression hiérarchique sur les équipes de sécurité.
- Être sur la même longueur d’onde avec les développeurs pour apaiser les tensions entre les équipes.
Il ne s’agit là que d’un aperçu des conclusions de l’étude Forrester.
Téléchargez et lisez le rapport complet « Bridging the Developer and Security Divide .»