Enseignements clés, retours d’expérience, réponse aux questions des spectateurs… retrouvez en replay l’intégralité de cet événement.
Qu’est-ce que le DevSecOps ? Comment transforme-t-il les projets IT ? Comment le mettre en place dans une organisation ? Ces questions sont au cœur de la réflexion de nombreuses entreprises et administrations, confrontées à un environnement toujours plus complexe.
Pour décrypter ces problématiques, le groupe ENI organisait son 12e ENI Talks baptisé « Sécurité intégrée : comment le DevSecOps transforme vos projets IT » avec Extia et le groupe La Poste dans le cadre de la Nantes Digital Week 2025.
Le replay est désormais disponible ! Profitez-en pour découvrir les échanges riches et pragmatiques entre nos 3 experts :
• Bruno BONNIN : Architecte solutions pour le Groupe La Poste
• Jordan ASSOULINE : DevSecOps & Customer Engineer chez Google et auteur aux Editions ENI
• Rémy VILLAIN : Ingénieur consultant DevOps pour Extia
Qu’est-ce que le DevSecOps ?
Les mots peuvent être différents mais le constat est unanime pour nos intervenants : face à la sophistication des menaces et à l’accélération des cycles de développement, la sécurité ne peut plus intervenir a posteriori.
Évolution du DevOps, le DevSecOps n’applique plus la sécurité en fin de cycle de vie mais dès le début et tout le temps avec les individus mais aussi l’outillage.
Dès la phase de conception, il s’agit ainsi de “partager la complexité de la sécurité” entre développeurs, ops, testeurs, managers… et de faire des bonnes pratiques un langage commun qui doit être employé dès le début, le “shift left”.
Quelques points clés :
• La culture DevSecOps : une question de gouvernance, de collaboration et d’acculturation, où chaque acteur devient un maillon de la chaîne de confiance.
• Le rôle déterminant du management : pour que la démarche infuse, l’impulsion doit venir d’en haut – et peut se matérialiser par la nomination de “Security Champions” ambassadeurs en interne.
• Pragmatisme & progressivité : pas besoin de “bazooka pour tuer une mouche” soulignait Jordan Assouline, mais un arsenal d’outils open source et de formation adaptés à la maturité des équipes.
• L’impact de l’IA : entre opportunités (automatisation, correction proactive) et nouveaux risques (vulnérabilités générées, confiance dans l’algorithme), l’intégration de l’intelligence artificielle comme alliée – ou challenge – du DevSecOps suscite d’ores et déjà des débats passionnés.
DecSecOps : ROI et retours d’expérience
Les intervenants n’ont pas éludé la réalité : la valeur immédiate du DevSecOps est difficilement quantifiable, mais les bénéfices se mesurent, à terme, en sérénité, en robustesse des applications et en capacité à réagir vite face à l’imprévu.
L’audience a pu interroger les experts sur la réalité du terrain : sélection d’outils (Sonar, GitLab, Dependabot…), formation, adaptation à la culture locale ( pour les entreprises internationales), cas concrets de vulnérabilités “évitées”.
Les enseignements clés à retenir :
• La sécurité, l’affaire de tous : nul ne peut plus la reléguer au second plan — elle doit devenir le réflexe quotidien de toutes les équipes.
• L’accompagnement humain reste prioritaire sur l’outillage : la ludification et la formation collaborative sont incontournables pour une adoption durable.
• Ne pas aller trop vite : privilégier l’amélioration continue, itérative et adaptée à la réalité du projet, plutôt que la mise en place de solutions surdimensionnées.
• L’intelligence artificielle : une “révolution balbutiante” qui s’intègre déjà aux chaînes CI/CD, mais qui pose, demain, la question de la confiance et du contrôle dans les process de sécurité.
Les écueils à la mise en œuvre du DevSecOps
« Le mieux est l’ennemi du bien » soulignait Rémy Villain. Aller trop vite, voire trop gros sont deux des principaux écueils à la mise en place du DevSecOps.
Selon les infrastructures, beaucoup d’outils peuvent être disponibles mais déployer de nombreux outils pour éviter les vulnérabilités peut être contre-productif avec un cycle de production bloqué.
Parfois pour l’image, des investissements démesurés sont faits dans l’outillage sans accompagnement des équipes. Résultat, des contournements sont effectués.
Le DevSecOps ne doit pas rendre la sécurité bloquante, au contraire. C’est ce qu’ont prouvé nos intervenants par des cas concrets.
Les mots de la fin :
« La sécurité, c’est l’affaire de tous. » Bruno Bonnin
« Avoir une vue outil du problème, c’est ne pas avoir compris le problème » Rémy Villain
« La sécurité n’a d’intérêt que si l’on sait pourquoi on la met en place, et non pas comment on la met en place » Jordan Assouline
Vous souhaitez aller plus loin ?
➡️ Devenez spécialiste en Cyberprotection avec ENI Ecole Informatique
➡️ Vous souhaitez vous former en 1 à 5 jours, en présentiel ou à distance ?
Découvrez toutes les formations ENI Service
➡️ DevOps et Jenkins, Ansible, Git,…
Livre
Développez et administrez vos services en toute sécurité (2e éd.)
Livre
Gestion de projets et pipelines CI/CD
Livre
Stratégies offensives et défensives
Livre
Optimisez la gestion de vos projets informatiques
POUR LES ENTREPRISES
Découvrez nos solutions de formation pour vos équipes et apprenants :
En e-learning avec notre offre pour les professionnels
