object.title
DevOps D-Day : innovation et perspectives en DevSecOps

Le DEVOPS D-DAY 2023, événement emblématique dans le domaine du DevOps, a marqué un tournant avec la participation de 1 200 acteurs du monde IT, 20 partenaires, 35 sessions et 40 intervenants. Cette 8ème édition, tenue à l'Orange Vélodrome, a été une plateforme d'échange et de découverte sur les dernières avancées en DevOps, Cloud et technologies libres.

 

Tristan Nitot : Reconsidération critique de la Loi de Moore

Tristan Nitot, célèbre pour ses contributions majeures dans des projets tels que Mozilla et Cozy Cloud, a offert une perspective unique, mélangeant technologie et durabilité lors de sa keynote. Son engagement actif contre le changement climatique et son parcours professionnel varié ont servi de fondation à sa présentation.

Révision de la performance informatique

Nitot a remis en question la loi de Moore, un paradigme historique centré sur le doublement de la capacité des processeurs tous les deux ans. Il a souligné l'urgence de revoir cette norme à l'aube des défis environnementaux actuels.

Dans une démarche innovante, Nitot a introduit le concept d'erooM, prônant l'amélioration de l'efficacité logicielle plutôt que la simple augmentation de la puissance matérielle. Cette approche vise à doubler l'efficacité logicielle chaque année, marquant ainsi un changement radical par rapport à la loi de Moore traditionnelle.

Approches pragmatiques et mesures concrètes

Il souligné l'importance de réduire l'empreinte carbone dans le secteur des technologies informatiques. Il compare l'empreinte carbone des serveurs, des voitures et des avions, illustrant l'impact substantiel de l'industrie IT sur l'environnement.

Abordant les datacenters, il met l'accent sur l'amélioration de leur PUE (Power Usage Effectiveness). Il cite des exemples où le PUE a été réduit de 2,4 à 1,2, traduisant une diminution notable de la consommation énergétique et, par conséquent, de l'impact environnemental.

Tristan Nitot conseille des actions tangibles telles que la réparation du matériel informatique existant, une évaluation rigoureuse de l'empreinte carbone, et l'adoption de comportements éco-responsables. Il encourage la participation à des ateliers sur le climat et le numérique et met en avant l'importance de la sensibilisation via des podcasts et des formations spécialisées.

Cette conférence a servi de catalyseur pour une réévaluation profonde des pratiques technologiques dans le secteur IT. En se focalisant sur des actions pragmatiques et des changements dans les méthodologies de développement et d'exploitation, Nitot trace la voie vers un avenir où le DevSecOps transcende la performance technique pour embrasser pleinement la responsabilité environnementale. Cette vision innovante offre aux professionnels du DevSecOps une opportunité d'harmoniser les objectifs technologiques avec des pratiques durables, ouvrant ainsi la voie à un avenir plus écologique et viable pour l'industrie informatique.

 

Élaboration d'une solution PaaS SecNumCloud-ready par Cloud Temple

Dans une conférence fascinante, Alexandru Lata de Cloud Temple a exploré le processus complexe de développement d'une solution PaaS SecNumCloud-ready. Cette session a révélé les défis et les étapes cruciales dans la création d'une offre PaaS alignée sur les standards contemporains de sécurité et de performance.

Relever le défi SecNumCloud

L'atelier a débuté par une analyse de la demande du marché pour une offre PaaS certifiée SecNumCloud. Lata a souligné un écart notable dans l'offre actuelle de PaaS qualifiées SecNumCloud, mettant en exergue l'importance cruciale de ce projet pour répondre aux exigences de sécurité et de souveraineté numérique.

Une collaboration étroite avec la DINUM (Direction Interministérielle du NUMérique) et la DGE a été essentielle pour aligner l'offre sur les standards nationaux de sécurité, similaires à l'ISO 27001. Trois ans ont été nécessaires pour mener à bien ce projet, témoignant de l'engagement et de la complexité de cette entreprise.

L'équipe de Cloud Temple a choisi OpenShift comme plateforme cloud native, guidée par l'impératif de fournir des services numériques performants et sécurisés. Le design de l'architecture matérielle et logicielle a été méticuleusement conçu pour répondre aux critères du référentiel SecNumCloud.

La réalisation de cette offre a impliqué plusieurs phases, incluant le choix de technologies adaptées pour le déploiement et la gestion des clusters clients, et l'intégration de techniques de modélisation des menaces telles que STRITE. Une disponibilité fixée à 99,99% a souligné l'importance de la fiabilité de la solution.

Un système de monitoring interne, exploitant des outils comme VictoriaMetrics et Elastic pour la gestion des logs, a été développé pour une surveillance efficace et en temps réel du système.

 

Audit et processus de qualification

La préparation pour l'audit de qualification SecNumCloud a requis une analyse de risque approfondie et l'établissement de contrôles rigoureux. L'audit interne et le PASSI ont joué un rôle déterminant dans l'identification et la rectification des failles potentielles.

L'approche DevSecOps adoptée par Cloud Temple, axée sur le concept de "shift left security", a souligné l'importance d'intégrer la sécurité dès le début du processus de développement. L'utilisation de Security Champions, la pratique du binômage, et l'automatisation ont consolidé tant la sécurité que l'efficacité de la solution.

Le bilan du projet a été extrêmement positif, avec des retours clients soulignant des améliorations notables en termes de performance et de sécurité. La plateforme PaaS SecNumCloud-ready de Cloud Temple s'est imposée comme une solution viable et concurrentielle, répondant avec succès aux exigences rigoureuses de sécurité et de souveraineté numérique.

L'atelier d'Alexandru Lata a offert une vision claire des enjeux et des difficultés liés à l'élaboration d'une offre PaaS SecNumCloud-ready. Ce projet réussi incarne l'importance de l'innovation, de la collaboration intersectorielle et de l'engagement envers la sécurité et la performance dans le domaine évolutif du DevOps. Pour les experts en DevSecOps, ce cas d'étude représente un modèle exemplaire pour concevoir des solutions respectant les normes de sécurité les plus strictes, tout en répondant aux besoins commerciaux et techniques contemporains.

 

La plateforme DevSecOps Open-Source du MIOM

Le DEVOPS D-DAY 2023 a été le théâtre d'une présentation remarquable sur la plateforme DevSecOps open-source du ministère de l’Intérieur (MIOM), menée par Thibault Colin, Lead Developer au Ministère, et Akram Blouza de WeScale, apportant ensemble une riche expérience dans divers environnements techniques. Cette initiative représente un tournant dans la transformation numérique du gouvernement français, illustrant l'importance de l'open-source et de la collaboration intersectorielle.

La vision et l'expertise derrière la plateforme

Thibault Colin, avec six ans d'expérience dans le secteur public, voit l'open-source comme une clé pour une coopération efficace entre le secteur public et les industriels du numérique. Son engagement en faveur de l'intérêt général est reflété dans son approche de développement. Akram Blouza, quant à lui, apporte plus de quinze ans d'expérience dans la gestion de programmes informatiques à l'échelle industrielle, contribuant ainsi au partage de connaissances techniques et à l'avancement de la communauté.

Transformation et innovation au cœur de la plateforme

La plateforme "Cloud Pi Native", élaborée avec le ministère de l'Intérieur, offre des services numériques d'avant-garde sur un cloud automatisé et souverain. Basée sur RedHat OpenShift et Kubernetes, elle ambitionne d'améliorer la qualité des services dans le secteur public. L'ouverture de la plateforme en open-source est stratégique, assurant sécurité, transparence et interconnexion avec les environnements étatiques, tout en réduisant les frictions organisationnelles.

L'écosystème de la plateforme est composé d’outils tels que Gitlab, Harbor, ArgoCD, Nexus OSS et Trivy, qui soutiennent une approche de sécurité proactive (shift left) dans la toolchain DevSecOps. Cette approche renforce l'engagement envers la responsabilité environnementale et l'innovation collaborative.

Perspectives d'évolution et d'expansion

Le MIOM envisage d'élargir le catalogue de services de la plateforme, d'introduire des fonctionnalités de white label sur l'interface utilisateur et de garantir une compatibilité totale avec Kubernetes. L'intégration de capacités MLOps et la résilience sont également des objectifs clés pour l'avenir.

La présentation de cette plateforme DevSecOps open-source a souligné l'impact positif de l'open-source et de la collaboration dans la modernisation des services numériques du secteur public. Cette initiative marque une étape importante dans la transformation digitale du gouvernement français, affirmant un engagement fort pour la sécurité, la transparence et l'innovation.

 

Sécurisation avancée de la supply chain logicielle : Perspectives de jFrog

Hamza Zaoui de JFrog a animé une conférence essentielle axée sur la sécurisation des dépendances dans la supply chain logicielle. Fort de quinze années d'expérience en industrialisation logicielle, Zaoui a partagé des stratégies clés pour renforcer et optimiser la supply chain logicielle, face aux enjeux actuels.

Enjeux sécuritaires de la supply chain logicielle

Zaoui a mis l'accent sur le fait que les dépendances applicatives se sont transformées en vecteurs d'attaques significatifs, rendant la sécurisation des supply chains logicielles plus complexe. Il a souligné l'importance cruciale de comprendre et de gérer ces risques pour préserver la sécurité et l'efficacité du processus de développement logiciel.

Cinq stratégies clés pour une gestion efficace

  • Établissement de gouvernance et de normes : Il a été conseillé de mettre en place une gouvernance solide et des règles claires pour administrer le parc applicatif. Ce processus comprend la classification des applications et l'évaluation de l'impact des politiques sur les projets individuels.
  • Priorisation de la security by design : L'approche "Shift Left" en matière de sécurité, préconisée par Zaoui, implique d'intégrer la sécurité dès les premières phases de développement. Cela comprend la création de stacks versionnés, la mise à disposition de modèles et l'installation de firewalls pour filtrer les requêtes et paquets malveillants.
  • Intégration sécuritaire des développeurs : L'intégration efficace des développeurs dans les processus de sécurité est vitale. Zaoui a abordé l'analyse contextuelle dans l'IDE et l'harmonisation des politiques de sécurité avec les pratiques des développeurs, soulignant également l'importance de communiquer clairement les standards de remédiation.
  • Stratégie orientée sur la publication : L'émission d'un Software Bill of Materials (SBOM) à travers le pipeline de développement s'avère essentielle. Cette stratégie favorise le suivi des dépendances et réduit l’adhérence forte aux répertoires publics, renforçant ainsi la sécurité et la transparence.
  • Monitoring continu et évaluation des risques : Un suivi continu est indispensable pour répondre rapidement aux vulnérabilités émergentes (CVE) et pour évaluer l'impact des politiques de gouvernance. Cette démarche proactive de gestion des risques repose sur une analyse détaillée de l'impact et de la sécurité.

L'intervention de Hamza Zaoui de jFrog lors du DEVOPS D-DAY 2023 a fourni des éclairages fondamentaux sur la sécurisation de la supply chain logicielle. L'adoption de ces cinq stratégies par les organisations ne se limite pas à un renforcement de la sécurité ; elle contribue également à améliorer l'agilité et l'efficacité dans le développement logiciel. Cette approche globale souligne l'importance d'une prévention proactive et d'une gestion des risques adaptée aux réalités du DevSecOps moderne.

 

Transformation de la CI/CD chez Bedrock : Le Passage à GitHub Actions pour plus de flexibilité

Timothée Aufort et Jean-Yves Camier ont exposé leur parcours de transition d'une infrastructure CI/CD obsolète vers GitHub Actions pour une équipe de 280 développeurs. Leur présentation a détaillé les défis rencontrés et les stratégies mises en œuvre pour revitaliser la pipeline CI/CD de Bedrock.

Contexte et défis initiaux

Confrontée à une DevFactory Jenkins devenue trop contraignante, l'équipe de Bedrock a opté pour une migration vers GitHub Actions. Ce changement visait à rajeunir l'infrastructure existante et à résoudre une part significative de la dette technique accumulée par l'entreprise.

L'ambition était de se positionner en tant que fournisseur de services plus dynamique et performant, apte à accompagner la croissance rapide et à s'adapter aux exigences changeantes des équipes de développement.

Processus de migration

La migration s'est caractérisée par une planification rigoureuse et une mise en œuvre soignée, avec un souci constant de minimiser les perturbations pour les développeurs. Une collaboration étroite a permis de faciliter le passage vers le nouvel environnement GitHub Actions.

Innovations Techniques Adoptées : 

  • Docker Buildx Bake : Employé pour optimiser les builds multi-étapes, améliorant l'efficacité et raccourcissant les durées de build.
  • Helmfile et Go Templates : Utilisés pour déployer une série de charts Helm, exploitant les Go templates pour une flexibilité accrue.
  • Gestion des Secrets : Mise en place de SOPS (Secrets OPerationS) pour le chiffrement des fichiers, en collaboration avec AWS KMS et HashiCorp Vault, augmentant la sécurité des données sensibles.
  • Renovate et Kics Checkmarx : Intégrés pour la gestion des dépendances et l'analyse SAST.
  • Gestion de Release avec release-please : Adopté pour structurer et automatiser le processus de release management.
  • Gitleaks : Utilisé pour la détection préventive de secrets dans le code.

La transition de Bedrock Streaming vers GitHub Actions a marqué un tournant décisif dans leur évolution DevOps. Grâce à l'adoption de technologies et méthodes avant-gardistes, l'équipe a non seulement surmonté ses défis techniques mais a aussi jeté les bases d'un avenir solide. Ce passage à une infrastructure CI/CD plus souple et sécurisée positionne idéalement Bedrock pour répondre aux besoins croissants et aux enjeux spécifiques de l'industrie du streaming. Leur expérience constitue un cas d'étude précieux pour d'autres entités envisageant de moderniser leurs processus de CI/CD, soulignant l'importance cruciale de la planification, de la collaboration et de l'innovation technologique.

 

Évolution de l'Expérience CI/CD : Transformer les défis en opportunités

Frédéric Leger, spécialiste DevOps/SRE, a apporté son expertise approfondie dans une conférence intitulée "Level-up your CI experience : Naviguer au-delà de la frustration lors de l'implémentation des chaînes CI/CD". Cette session s'est concentrée sur les difficultés habituellement rencontrées dans l'implémentation des chaînes CI/CD et a présenté des solutions novatrices pour optimiser l'expérience des développeurs.

Enjeux actuels de la CI/CD

Frédéric a exposé comment les procédures actuelles de CI/CD peuvent fréquemment générer de la frustration parmi les développeurs, évoquant les allers-retours superflus, l'insuffisance de retours constructifs, et la complexité intrinsèque des fichiers YAML. Il a mis en évidence que ces problématiques engendrent non seulement une perte de temps et de ressources financières, mais affectent également négativement l'expérience globale des développeurs.

L’absence de standardisation a également été soulignée dans les outils de CI/CD, entraînant une dépendance accrue à l'égard des technologies propriétaires et des solutions peu modulables.

CI eXperience (CIX)

Le concept de CIX (CI Experience) a été présenté, visant à appliquer les principes de l'expérience développeur, tels que les Environments As a Service via un IDP (Internal Developer Platform), à la CI. Il a recommandé l'usage de hooks et de pre-commit pour des intégrations plus rapides et efficaces, visant à alléger la charge de travail des développeurs dans la CI.

L’utilisation de conteneurs dans la CI est aussi fortement recommandée, permettant une flexibilité et une portabilité accrues des applicatifs, libs et du middleware. Les modèles de CI, disponibles notamment sur GitLab et la marketplace GitHub Actions, offrent des solutions préétablies pour dynamiser le processus de CI/CD.

Pour pallier les problèmes de portabilité, Frédéric a suggéré l'usage de solutions telles que Drone CI et Kubernetes avec l’utilisation des CRD (Custom Resource Definitions), permettant de simuler la CI localement et d'assurer une large compatibilité.

Des outils innovants comme Dagger, Werf et Earthly ont été cités en tant que solutions prometteuses pour augmenter la souplesse et l'efficacité de la CI/CD. Dagger, par exemple, propose une CI portable multilingue avec la création de modules réutilisables. Werf est conforme aux normes CNCF et se focalise sur les flux de travail Kubernetes, tandis qu'Earthly offre un cadre pour des builds reproductibles.

L'intervention de Frédéric Leger a mis en exergue des techniques et des outils novateurs permettant de transformer les défis de la CI/CD en une expérience enrichissante pour les développeurs. En adoptant ces méthodes, les organisations peuvent non seulement accélérer et simplifier leurs processus de CI/CD, mais également améliorer significativement la satisfaction et l'efficacité de leurs équipes de développement. Cette démarche globale est cruciale pour naviguer avec succès dans le domaine en évolution constante du DevOps.

 

Renouveau de la CI/CD grâce à l'InnerSource

Sébastien Longo de Klanik et Aurelien Coget de R2DEVOPS ont partagé leur parcours innovant en adoptant l'InnerSource pour relever les défis des pipelines CI/CD. Leur conférence, intitulée "La CI/CD c’est plus mon problème ! L’InnerSource est notre ami", a mis en lumière la transformation apportée à la gestion des processus CI/CD grâce à cette méthode. Sébastien Longo a décrit la complexité croissante de la gestion des pipelines CI/CD. Confronté à la nécessité de créer et de mettre à jour constamment des templates, ainsi qu'à gérer des configurations hétérogènes, Longo a été confronté à une utilisation intensive de son temps et de ses ressources.

La stratégie InnerSource

Sébastien a narré son cheminement vers l'intégration de l'InnerSource, une approche favorisant l'autonomie des développeurs dans la création et la maintenance de leurs propres pipelines CI/CD. L'utilisation de librairies standardisées CI/CD a été le pivot pour simplifier et dynamiser le développement de ces pipelines.

Aurelien Coget a lui aussi souligné l'importance de restructurer les templates CI/CD dans un système de monorepo, permettant ainsi l'unification des méthodes de build et de déploiement. Cette standardisation a facilité considérablement la gestion et l'automatisation des pipelines, permettant ainsi une meilleure efficacité et réactivité dans les projets DevOps.

La plateforme R2Devops, avec ses outils et ses fonctionnalités avancées, a été conçue pour s'intégrer parfaitement dans un environnement InnerSource, favorisant ainsi une collaboration plus étroite et une plus grande agilité au sein des équipes de développement. 

Un des défis persistants était de suivre l'adoption des templates et de garantir une mise à jour automatique dans les pipelines applicatifs. L’utilisation de cette solution a permis d’assurer la gouvernance. Pour remédier à cela, un tableau de bord de suivi des pipelines CI a été mis en place, stimulant la communication et la collaboration entre les équipes. L'adoption de l'InnerSource a amélioré la gestion de la dette technique et a fluidifié le processus de création de pipelines applicatifs. Elle a aussi promu un partage accru des savoirs et des ressources au sein de l'entreprise.

Cette expérience a prouvé l'efficacité de l'InnerSource dans la résolution des problématiques CI/CD. En donnant plus de responsabilités aux développeurs et en standardisant les procédures, Klanik a réussi à surmonter les obstacles, améliorant ainsi son efficacité opérationnelle et la synergie d'équipe. Cette approche offre des enseignements précieux pour d'autres organisations confrontées à des défis similaires dans leurs processus CI/CD.

 

GitOps dans les opérations : Redéfinir le déploiement d'applications

Alexandre Gomez, apprenti SRE chez Comwatt et étudiant en ingénierie DevOps à Polytechnicien Montpellier, a pris la parole pour présenter une session éducative sur l'application de GitOps dans les opérations. Intitulée "Déployer son application avec la philosophie GitOps", cette conférence a mis en exergue les méthodes et les avantages de GitOps dans le contexte du déploiement d'applications.

La philosophie GitOps

Dans sa présentation, Gomez a introduit GitOps comme une stratégie révolutionnaire pour orchestrer et gérer les déploiements d'applications. À travers l'exemple de Nicolas, un développeur ayant conçu une application multiservices, Gomez a démontré l'efficacité de GitOps pour simplifier le déploiement, en utilisant Git comme référentiel central pour la configuration et la gestion des infrastructures.

Gomez a souligné les bénéfices clés de GitOps : accroissement de la transparence, amélioration de l'efficacité des déploiements, et gestion systématique des modifications de configuration.

Processus de Déploiement avec GitOps

Création d'une Infrastructure as Code : Gomez a insisté sur l'importance vitale de l'Infrastructure as Code (IaC), en employant Terraform pour créer et gérer des modules réutilisables. L'usage de Kubernetes pour la gestion des rôles et des namespaces a également été abordé, soulignant son rôle dans la facilitation de la gestion des ressources et la segmentation de l'infrastructure.

Gestion des secrets : La gestion des secrets, un élément crucial dans le déploiement d'applications sécurisées, a été discutée. Gomez a expliqué l'utilisation efficace d'outils tels que HashiCorp Vault pour une gestion des secrets adaptée au contexte de GitOps.

Approches Push et Pull : Une distinction importante a été établie entre les approches push, utilisant des pipelines CI/CD via GitLab, et les approches pull, impliquant des outils comme ArgoCD et Flux. Gomez a mis en lumière l'avantage de l'approche pull, où les serveurs récupèrent les configurations les plus récentes de Git, garantissant ainsi un contrôle plus fin et une sécurité accrue.

La présentation de Gomez a illustré comment GitOps peut révolutionner le déploiement d'applications, rendant le processus plus contrôlable, sécurisé et efficace. L'accent mis sur Git comme source centrale de vérité, couplé à l'usage d'outils IaC modernes et de solutions de gestion des secrets, positionne GitOps comme une pratique incontournable pour les équipes DevOps cherchant à optimiser leurs opérations. Cette approche simplifie non seulement la gestion des environnements complexes mais garantit aussi une traçabilité et une cohérence dans toutes les actions, alignant étroitement les opérations sur les meilleures pratiques de développement.

 

Conclusion : Le DEVOPS D-DAY 2023, un miroir de l'évolution du DevOps

Le DEVOPS D-DAY 2023 s'est révélé être une mosaïque d'idées novatrices, de concepts et de pratiques qui dessinent l'avenir du DevOps. L'événement a brillamment tissé ensemble divers thèmes, démontrant l'adaptabilité et la croissance continues de l'écosystème DevOps.

La transition des remises en question de la loi de Moore par Tristan Nitot à la pratique avancée de GitOps par Alexandre Gomez a mis en évidence la rapidité de l'évolution des technologies et des méthodologies dans le domaine du DevOps. Cette progression, marquée par un accent sur l'optimisation logicielle et l'automatisation, comme le montre l'expérience de Bedrock Streaming avec la CI/CD, indique une tendance générale vers l'amélioration continue et l'efficacité dans le secteur des technologies de l'information.

Les sessions de JFrog, centrées sur les enjeux de sécurité dans la supply chain logicielle, ont résonné avec les avancées en matière de CI/CD et GitOps, où l'intégration proactive de la sécurité est devenue un leitmotiv. Cette synergie entre sécurité et agilité a été renforcée par l'approche InnerSource, qui, en accord avec l'initiative collaborative et ouverte de la plateforme "Cloud Pi Native" du MIOM, a souligné l'importance du partage des connaissances et de la coopération pour le développement de solutions efficaces et sécurisées.

Chaque intervention du DEVOPS D-DAY 2023 a représenté une dimension de la transition et de la transformation constantes dans l'univers du DevOps et de la sécurité informatique. Ces échanges ont non seulement reflété les courants actuels, mais ont aussi pavé la voie à de futures avancées.

 

Perspectives pour l'avenir

Malgré l'éclat des innovations et des idées présentées au DEVOPS D-DAY 2023, il semblait parfois manquer un peu de profondeur technique et de l'expertise qui avaient caractérisé les éditions antérieures. Le niveau global était néanmoins satisfaisant, avec des sessions couvrant un large spectre de sujets pertinents. Les présentations étaient accessibles et offraient une introduction complète aux divers aspects du DevOps, ce qui s'est avéré bénéfique pour les participants peu familiers dans ce domaine.

En conclusion, l'édition 2023 a fourni une base solide et accessible pour l'exploration du vaste univers du DevOps. L'attente est grande pour l'édition de l'année prochaine, avec un contenu davantage axé sur l'expertise et l'innovation technique.;

 

Lionel GAIROARD

Practice Leader DevSecOps