Pour construire un logiciel sécurisé, la culture d'équipe compte plus que la technologie
selon la version 2022 du rapport State of DevOps

Google a récemment publié les résultats du rapport 2022 Accelerate State of DevOps. Cette année, le rapport s'est concentré sur la sécurité, en mettant l'accent sur la chaîne logistique des logiciels. Le but était de mieux cerner la relation entre la sécurité et le DevOps. Le rapport a révélé une large adoption des pratiques inspectées, les organisations qui ont une culture de confiance élevée et de faible blâme étant en tête pour les pratiques opérationnelles et de sécurité. Les auteurs ont également constaté une augmentation des mauvais résultats, qui passent de 7 % en 2021 à 19 % cette année.

Le rapport Accelerate State of DevOps est publié chaque année depuis 2014 par l'équipe DORA (DevOps Research and Assessment) de Google. L'équipe dit avoir interrogé 33 000 praticiens dans le monde entier depuis 2014, couvrant tous les principaux secteurs d'activité. Cette année, le rapport Accelerate State of DevOps se base sur les résultats d'une enquête menée auprès de 1350 professionnels - dont 68 % travaillent dans le développement, l'ingénierie ou les opérations et infrastructures informatiques - issus d'organisations bien équilibrées entre les plus grandes (avec plus de 10 000 employés) et les petites (20-99 employés).

Nom : 1.png
Affichages : 4547
Taille : 80,2 Ko

L'édition de cette année fait état d'une baisse de ce que l'équipe appelle la "performance opérationnelle des logiciels" depuis l'année dernière, d'une augmentation de l'utilisation du cloud et du fait que le CI/CD (Continuous Integration/Continuous Delivery) est essentiel à la sécurité des logiciels. Les chercheurs concluent également que pour développer des logiciels sécurisés, une forte culture de collaboration est plus importante que n'importe quelle caractéristique technique. Voici ci-dessous les points de l'édition 2022 du rapport Accelerate State of DevOps de Google.

Sécurité

L'équipe a poursuivi ses recherches en 2021 sur la sécurité de la chaîne logistique logicielle en examinant les pratiques techniques qui améliorent la sécurité de la chaîne logistique logicielle et les pratiques non techniques qui ont un impact sur la capacité d'une organisation à exceller dans la sécurisation de sa chaîne logistique logicielle. Elle s'est appuyée sur deux frameworks pour orienter ses recherches : Supply Chain Levels for Software Artifacts (SLSA) et Secure Software Development Framework (SSDF) du NIST. Les principales conclusions dans ce domaine sont :

  • le virage à gauche (shifting left) en matière de sécurité est une pratique largement adoptée. L'étude montre que deux tiers des personnes interrogées poursuivent activement la sécurisation de la chaîne logistique logicielle en intégrant la sécurité de manière transparente dans le processus de développement ;
  • la culture est le principal moteur de l'adoption des pratiques de sécurité. On pourrait s'attendre à ce que la technologie soit le principal moteur, mais les recherches ont montré qu'une culture organisationnelle générative (par exemple, orientée vers la performance, hautement coopérative, partageant les risques) conduit à des pratiques logicielles plus saines ;
  • les pratiques techniques autour du CI/CD permettent de prédire le succès en matière de sécurité. Les entreprises qui utilisent le contrôle des sources, l'intégration continue (CI) et la livraison continue (CD) ont des pratiques SLSA mieux établies. Ces pratiques transfèrent la sécurité aux développeurs et garantissent une analyse cohérente de la sécurité ;
  • le cloud permet des pratiques logicielles sécurisées. Les cinq caractéristiques du cloud computing définies par le NIST permettent l'adoption réussie de la sécurité de la chaîne logistique logicielle qui, à son tour, prédit une meilleure performance organisationnelle.


« Nous avons constaté que le principal facteur prédictif des pratiques de sécurité en matière de développement d'applications d'une organisation était culturel, et non technique. Les cultures fondées sur la confiance et le blâme, et axées sur la performance, étaient 1,6 fois plus susceptibles d'adopter des pratiques de sécurité émergente supérieures à la moyenne que les cultures fondées sur la confiance et le blâme, et axées sur le pouvoir ou les règles », indique le rapport. Puisque la culture collaborative est également alignée sur d'autres aspects des équipes logicielles performantes, c'est peut-être le message clé ici.

S'il a un problème, il est préférable de régler d'abord la culture organisationnelle et l'amélioration des performances des développeurs, y compris la sécurité, suivra. « Les individus et les interactions priment sur les processus et les outils », disait le Manifeste Agile en 2001, et il semble que cela n'ait pas changé. En outre, le rapport ajoute que les entreprises qui donnent la priorité à la sécurisation de la chaîne d'approvisionnement des logiciels et qui excellent dans ce domaine connaissent moins d'interruptions de service, anticipent moins de violations de la sécurité et affichent des niveaux élevés de performance.

Nom : 2.png
Affichages : 1004
Taille : 121,0 Ko

Les données ont aussi montré que grâce à l'utilisation de pratiques modernes telles que l'intégration continue, les équipes peuvent améliorer leur posture de sécurité et même amplifier l'impact positif de ces pratiques de sécurité sur les mesures de livraison de logiciels (MTTR, fréquence de déploiement, délai de rétablissement du service) et les performances organisationnelles globales.

Culture

Comme souligné ci-dessus, le plus grand prédicteur des pratiques de sécurité du développement d'applications est l'adoption d'une culture organisationnelle générative basée sur le partage des risques et des informations. De plus, l'étude semble indiquer que les éléments de ce type de culture conduisent à une meilleure performance organisationnelle globale. La recherche a montré qu'une performance organisationnelle élevée peut être atteinte en favorisant des environnements qui sont :

  • solidaires[/B] : selon le rapport, les équipes qui se sentent soutenues et qui bénéficient de l'appui de la direction (par exemple, un soutien financier plus important, une plus grande allocation de ressources, des parrainages, etc.) sont associées à des organisations très performantes ;
  • stables : les équipes dont la composition n'a pas beaucoup changé au cours des 12 derniers mois sont plus susceptibles de faire partie d'organisations très performantes ;
  • souples : les organisations qui offrent une plus grande flexibilité quant au lieu de travail - à distance, en personne ou hybride - sont globalement plus performantes.


Cette année encore, l'équipe s'est penchée sur l'épuisement professionnel et a élargi le champ de l'étude pour comprendre quels éléments de la culture contribuent à réduire les niveaux d'épuisement. Elle a constaté que la culture générative, la stabilité de l'équipe et la flexibilité du travail contribuaient toutes à une réduction de l'épuisement professionnel chez les employés.

Cloud

Dans l'édition 2022 du rapport Accelerate State of DevOps de Google, l'équipe indique que l'utilisation du cloud public a augmenté de 36 % par rapport à 2021, tandis que les entreprises qui ne déclarent aucune utilisation du cloud sont en baisse de 50 %. L'utilisation du cloud hybride est en hausse de 25 %. En outre, le rapport note que sans surprise, l'utilisation du cloud computing a été associée à une meilleure performance organisationnelle. « Les personnes interrogées qui ont utilisé le cloud étaient 14 % plus susceptibles de dépasser les objectifs de performance de l'organisation », indiquent les chercheurs.

Nom : 3.png
Affichages : 988
Taille : 67,0 Ko

L'équipe rappelle qu'au cours des années précédentes, elle a constaté que ce n'était pas "l'utilisation du cloud" en soi qui conduisait à la performance organisationnelle, mais plutôt la réalisation des cinq caractéristiques essentielles du cloud computing : notamment libre-service à la demande, large accès au réseau, mise en commun des ressources, élasticité rapide et service mesuré. Cette année, elle a constaté que le cloud computing permettait des choses comme la fiabilité, la livraison continue et l'amélioration de la sécurité de la chaîne d'approvisionnement, qui sont les moteurs de la réussite organisationnelle.

Plus de 50 % des personnes qui ont répondu à l'enquête ont déclaré qu'elles utilisaient plusieurs fournisseurs de cloud computing. L'équipe a demandé aux personnes interrogées quels avantages elles tiraient de l'utilisation de plusieurs fournisseurs de cloud computing. Voici les trois principaux :

  1. disponibilité ;
  2. exploitation des avantages uniques de chaque fournisseur ;
  3. la confiance est répartie entre plusieurs fournisseurs.


Étant donné que la fiabilité semble être la clé de la réussite d'un atelier de livraison de logiciels et d'une organisation, il n'est pas surprenant que la disponibilité soit citée par près de 63 % des personnes interrogées comme un avantage découlant de l'utilisation de plusieurs clouds.

Fiabilité

Selon l'équipe, les années précédentes, ses recherches lui indiquaient que ceux qui excellaient dans les pratiques techniques excellaient aussi dans la performance organisationnelle. Cette année, elle dispose de données plus nuancées sur ce sujet. Cette année, elle a constaté que la livraison de logiciels ne permet pas de prédire de bons résultats commerciaux, à moins que ces pratiques ne soient associées à la fiabilité. Pensez-y : un client sera-t-il satisfait des nouvelles fonctionnalités si le service n'est pas stable ? Quel est l'avantage d'introduire rapidement du code dans un environnement fragile ?

Nom : 4.png
Affichages : 978
Taille : 106,0 Ko

Ainsi, les chercheurs affirment que la fiabilité est une composante essentielle de l'amélioration de la performance organisationnelle par la performance de la livraison des logiciels. Ils constatent également que l'impact de l'ingénierie de la fiabilité des sites (SRE) sur les performances organisationnelles n'est pas linéaire ; les pratiques d'ingénierie de la fiabilité ne se traduisent souvent pas par une fiabilité ou des performances organisationnelles supplémentaires tant qu'une certaine maturité n'est pas atteinte.

Le rapport indique également qu'il est important que les équipes le sachent et considèrent leur pratique SRE comme un investissement. « Au départ, il n'y aura probablement pas de paillettes et de licornes au fur et à mesure que vous développerez la fiabilité, mais au fur et à mesure que vous progresserez, vous obtiendrez probablement des performances et des succès élevés », explique l'équipe.

Source : L'édition 2022 du rapport Accelerate State of DevOps

Et vous ?

Que pensez-vous des conclusions de l'édition 2022 du rapport Accelerate State of DevOps ?

Voir aussi

C'est la culture, et non la technologie, qui fait obstacle au succès de DevOps, selon un rapport de Puppet, spécialiste de l'automatisation des infrastructures

Le rapport 2021 Accelerate State of DevOps s'intéresse au burnout et à la performance des équipes : les principaux enseignements

Les cinq étapes de l'évolution DevOps identifiées par le state of devops 2018, présentées par Puppet et Splunk

Les équipes DevOps se tournent de plus en plus vers une approche où les services qui leur permettent de créer et déployer leurs apps sont fournis en interne, selon l'édition 2020 du State of DevOps