Pourquoi le DevOps est voué à disparaître ?

Analyse rapide de l’évolution des pratiques et des tendances émergentes.

Naïm Aouaichia

avr. 08, 2025

📢 👉 Rejoins le bootcamp DevSecOps 8 semaines (hors horaires de bureau)

💣 Pourquoi ce métier est devenu une nécessité

Tu es développeur, DevOps, lead technique ?

Alors tu dois déjà le sentir : le monde change.

Des IA génèrent du code en masse… souvent vulnérable par défaut (Les pentesters vont se régaler !).
Les attaques explosent : phishing, RCE, XSS, supply chain, tout cerla menne a des leak ou des SI complètement paralyser par un cryptolocker.
Les États imposent des normes de sécurité de plus en plus strictes (DORA, NIS2, CRA…).

Le résultat ?

Tu ne peux plus ignorer la sécurité, sinon, l’entreprise pour laquelle tu travailles s’expose à des amendes salées…

Ci-dessous, un petit tuto pour commencer gentillement a insérer de la sécu dans tes

🧠 Dev → DevOps → DevSecOps : une évolution logique

Ethical Hacking: What Are the Stages of Penetration Testing?

Développeur (Dev) : tu codes.

DevOps : tu codes et tu déploies.

DevSecOps : tu penses à la sécurité, tu codes, tu check la sécurité, tu déploies, tu check la sécurité, tu re-codes, etc...

Tu es déjà DevSecOps, ou tu vas devoir le devenir très vite.

C’est exactement ce qu’on apprend en groupe dans le bootcamp DevSecOps :

👉 8 semaines intensives pour maîtriser les outils de sécurité, sécuriser ton code, tes déploiements, ton infra.

🎯 Toutes les infos ici

Cette évolution est inévitable, voilà pourquoi:

Les équipes sécurité sont dépassées.
La sécurité ne peut plus être une étape à la fin.
Il faut shift left : détecter les failles le plus tôt possible, pendant le dev, pendant la conception.

🔍 Les 3 piliers du DevSecOps : SAST, DAST, SCA

The Essential Role of Dynamic Application Security Testing (DAST) in Complementing Static Application Security Testing (SAST)

🧪 SAST – Static Application Security Testing

Analyse du code source, avant exécution.

Objectif : détecter les failles dans la logique, les mauvaises pratiques, les injections, les XSS.

🛠 Outils SAST

\(\[ \begin{array}{|l|l|l|l|} \hline \textbf{Outil} & \textbf{Langages supportés} & \textbf{CI/CD compatible} & \textbf{Autofix} \\ \hline Snyk & JavaScript, Python, Java, etc. & GitHub, GitLab, Jenkins & \text{Oui} \\ Bandit & Python uniquement & GitLab, CLI & \text{Non} \\ Semgrep & Polyglotte & GitHub, GitLab, Bitbucket & \text{Oui} \\ SonarQube & Polyglotte & Jenkins, GitLab & \text{Partiel} \\ \hline \end{array} \]\)

✅ Exemple : Bandit dans GitLab CI

sast_scan:
  stage: test
  image: python:3.9
  script:
    - pip install bandit
    - bandit -r . -ll -ii -f json -o report.json
  artifacts:
    paths:
      - report.json
  allow_failure: true

🚀 DAST – Dynamic Application Security Testing

Test en cours d’exécution, sur une app déjà déployée.

Simule des attaques réelles : injections, SSRF, XSS, mauvaises config, etc.

🛠 Outils DAST

\(\[ \begin{array}{|l|l|l|} \hline \textbf{Outil} & \textbf{Avantage principal} & \textbf{Utilisation} \\ \hline Nuclei & Rapide, personnalisable & Scan d{\prime}API et microservices \\ OWASPZAP & Interface graphique & Tests d{\prime}applications web \\ Burp Suite & Puissance extrême & Pentest manuel ou auto \\ \hline \end{array} \]\)

✅ Exemple avec Nuclei

nuclei -u https://mon-api.dev -t cves/ -o resultats.txt

💡 Tu peux intégrer Nuclei dans tes pipelines CI/CD pour automatiser tes scans à chaque déploiement.

🎓 👉 Ce genre d’intégration, tu l’apprends en pratique et de maniére détaillé dans le bootcamp DevSecOps

📦 SCA – Software Composition Analysis

Analyse des dépendances open-source (npm, pip, etc.)

Objectif : détecter les vulnérabilités connues dans les packages.

🛠 Outils SCA

\(\[ \begin{array}{|l|l|l|l|} \hline \textbf{Outil} & \textbf{Langages} & \textbf{Détection de vulnérabilités} & \textbf{Patchs recommandés} \\ \hline Snyk & Polyglotte & \text{Oui} & \text{Oui} \\ Dependency-Check & Java, JS, etc. & \text{Oui} & \text{Non} \\ GitHub Advanced Security & GitHub only & \text{Oui} & \text{Oui} \\ \hline \end{array} \] \)

🛠 Cas pratique : tout automatiser dans GitLab CI/CD

stages:
  - scan

sast:
  stage: scan
  image: python:3.9
  script:
    - pip install bandit
    - bandit -r . -ll -f json -o bandit-report.json
  artifacts:
    paths:
      - bandit-report.json

dast:
  stage: scan
  image: projectdiscovery/nuclei
  script:
    - nuclei -u https://app.local -t cves/ -o nuclei-result.txt
  artifacts:
    paths:
      - nuclei-result.txt

sca:
  stage: scan
  image: node:18
  script:
    - npm install -g snyk
    - snyk auth $SNYK_TOKEN
    - snyk test --json > snyk-report.json
  artifacts:
    paths:
      - snyk-report.json

🔐 En résumé : DevSecOps, c’est livrer vite ET sécurisé

Security by Design in 2024: Principles, Practices, and Regulations | Sternum IoT

Tu veux livrer plus vite, mais tu veux aussi éviter :

Une CVE de type critical dans un package.
Une vulnérabilité XSS en prod.
Une attaque supply chain par dépendance piégée parceque tu as pas mis un check t’intégrité sur ton appel de dépendance ?

Alors tu dois intégrer le SAST, le DAST et le SCA dans ton quotidien.

Et pour ne pas te perdre dans tous ces outils,

🎓 Forme-toi avec un plan structuré, des labs concrets, un encadrement technique.