Si vous travaillez dans un secteur hautement réglementé, les audits sont une réalité. Pourtant, même si vous savez qu’ils arrivent, les audits ne semblent jamais être plus faciles pour votre équipe de développement. Pourquoi donc?
Dans de nombreuses organisations, l’audit reste un exercice d’incendie ardu. Si votre équipe n’est pas suffisamment préparée pour un audit, celui-ci peut être perturbateur et invasif pour tout le monde, entraînant un travail non planifié et des progrès retardés.
Alors, comment pouvez-vous anticiper le processus d’audit pour vous assurer que votre équipe est toujours prête ? Comment rendre la gouvernance et la conformité DevOps aussi simples que possible ?
Il s’agit d’un changement de mentalité. Au niveau organisationnel, la sécurité et la conformité doivent être prioritaires. Il est facile de repousser les préoccupations réglementaires jusqu’à la dernière minute proverbiale, mais cela ne profitera pas à votre équipe à long terme. Dans un récent épisode du Software Delivery Leadership Forum (SDLF), des experts du secteur ont partagé un large éventail d’informations sur la gouvernance et la conformité DevOps, y compris certains des angles morts les plus courants et la manière de les surmonter. Nous avons rassemblé ci-dessous quelques faits saillants de la discussion.
Angle mort #1 : Négliger l’importance de l’audit
Historiquement, les organisations ont souvent négligé l’audit – jusqu’à ce qu’un audit se produise et qu’elles doivent s’en occuper. Mais maintenant, les auditeurs commencent à avoir la possibilité de s’impliquer dans le processus de développement logiciel d’une manière beaucoup plus intentionnelle.
Les auditeurs « voient cette opportunité non seulement de participer et de faire partie d’une équipe interfonctionnelle, mais aussi de faire partie de cette solution architecturée », déclare Mitch Ashley, PDG et analyste en chef d’Accelerated Strategies Group. Il dit avoir rencontré de nombreux auditeurs enthousiastes à l’idée de « franchir les barrières et de briser les silos du passé » et d’aider à innover.
Repenser l’audit pour l’intégrer pleinement dans le processus de développement logiciel dès le début sera utile, déclare Mitch. Les organisations doivent également élever la conformité au niveau d’importance qu’elle mérite.
Chez Fidelity Investments, par exemple, la livraison de logiciels, ainsi que la sécurité et la conformité, sont considérées comme des partenaires égaux. Chacun est « un pilier de première classe pour tout ce que nous faisons », déclare Ger McMahon, responsable des outils et plates-formes ALM chez Fidelity. « Ils sont très importants et essentiels au succès de la plateforme. Nos équipes Risque et Audit sont des partenaires commerciaux clés et une extension de notre équipe, participant à la collecte des exigences, aux démonstrations et aux conceptions architecturales. Nous avons en fait du personnel de sécurité intégré dans nos équipes de développement.
Angle mort n°2 : l’idée que « ce qui a fonctionné hier fonctionnera demain »
De nombreuses organisations partent du principe que les préoccupations réglementaires sont statiques, mais dans le nouveau monde des conteneurs et du cloud, qu’est-ce que c’est ? Les processus d’audit et de conformité devront s’adapter bientôt, déclare Prakash Sethuraman, RSSI chez CloudBees.
« La technologie du cloud et des conteneurs est un véritable changement de paradigme, dans la mesure où vous devez penser très différemment pour tirer parti des avantages de cet environnement », déclare Prakash. « Ainsi, les processus d’audit et de conformité qui existaient hier ne fonctionnent probablement pas pour le nouveau monde à venir. Les exigences des régulateurs ne sont pas aussi fluides que la technologie l’a été au cours de la même période. La plupart des organisations oublient cela et essaient d’adapter les processus existants à de meilleurs flux de travail alors qu’en réalité, nous devons repenser totalement la conformité pour ce nouveau monde.
Angle mort n° 3 : Pensée négative sur la conformité
Les équipes de développement abordent souvent les audits avec appréhension. Au sein des équipes de développement, il y a généralement beaucoup de confiance, dit Ger, « mais du point de vue de l’audit, très peu de vérification ». Ainsi, lorsqu’il est temps de procéder à un audit, il s’agit d’un processus invasif et chronophage de parcourir chaque composant de chaque équipe et chaque application et de rechercher les données nécessaires. C’est aussi du temps passé loin des projets générateurs de valeur commerciale, ce qui est un pas dans la mauvaise direction.
Les équipes doivent être en mesure de capturer les données pour les audits de manière automatisée. L’approche DevOps, où les équipes se déplacent vers la gauche et automatisent autant que possible, a ouvert la voie à une meilleure documentation, tests et conformité tout au long du cycle de vie de la livraison du logiciel, pas seulement à la toute fin. « Cela nous aide vraiment à nous préparer pour pouvoir capturer des informations d’une manière significative pour les rapports de conformité et les exigences réglementaires », explique Mitch.
Au niveau de l’organisation, il devrait également y avoir plus d’éducation sur la conformité – après tout, c’est essentiel pour assurer la sécurité de l’organisation et de ses employés et clients. «Nous devons nous assurer que la conformité n’est pas considérée comme une chose négative, et qu’elle n’est pas considérée comme un obstacle ou un dissuasion à aller vite. Cela doit juste être beaucoup plus contextuel, et cela doit être en cours plutôt que quelque chose qui se passe à la fin », dit Prakash.
C’est facile à dire et plus difficile à faire dans une organisation, mais les développeurs et la conformité peuvent mieux collaborer s’ils comprennent les défis et les succès de l’autre équipe. Une meilleure empathie et compréhension des deux côtés ira un long chemin.