5-4 · Chapitre 5 · 6 min de lecture

Pourquoi les DBA et les ingénieurs sécurité bloquent vos releases (et comment y remédier)

Les DBA et ingénieurs sécurité bloquent vos releases parce qu'ils sont consultés trop tard. Découvrez comment les impliquer en amont pour éviter les retards.

Pourquoi les DBA et les ingénieurs sécurité bloquent vos releases (et comment y remédier)

Vous avez une fonctionnalité prête. Les développeurs ont terminé le code. La QA a donné son accord. L'environnement de staging est validé. Vous planifiez la release pour ce soir.

Puis le DBA examine le changement et dit : "Cette migration va verrouiller la table pendant cinq minutes. La production est chargée à ce moment-là. On ne peut pas faire ça."

Ou l'ingénieur sécurité examine la fonctionnalité d'upload et constate : pas de validation du type de fichier, pas de limite de taille, et un accès public direct aux fichiers téléversés. Il dit : "Ça ne peut pas sortir."

La release est retardée. Encore une fois.

Ce scénario se répète chaque semaine dans toutes les équipes. La réaction habituelle est de blâmer le DBA ou l'ingénieur sécurité, de les traiter de bloqueurs. Mais le vrai problème, c'est comment et quand ils sont impliqués.

Le problème du DBA face aux changements tardifs

Les administrateurs de bases de données sont responsables de la stabilité, de la disponibilité et des performances de la base. Ils connaissent le comportement de la production : quelles tables ont un trafic élevé, quand les pics de charge surviennent, et quelles opérations provoquent des verrous. Un développeur qui teste un changement de schéma sur son laptop avec quelques centaines de lignes ne vit pas ce qui se passe quand cette même migration s'exécute sur des millions de lignes sous transactions actives.

Quand un DBA voit un changement pour la première fois à la porte de release, ses seules options sont d'approuver ou de rejeter. Il n'a aucun contexte sur l'importance critique de la fonctionnalité, s'il existe un contournement, ou si la migration peut être décomposée en étapes plus sûres. Par défaut, il choisit la prudence. Il demande plus de temps. Il demande une approche différente. La release est bloquée.

Le DBA n'essaie pas de vous bloquer. Il essaie d'éviter un incident qu'il devra résoudre à 2 heures du matin.

Le dilemme de l'ingénieur sécurité

Les ingénieurs sécurité vivent le même schéma. On les sollicite à la dernière minute, on leur tend une fonctionnalité, et on leur demande de l'approuver rapidement. Mais ils voient ce que l'équipe a manqué pendant le développement : des entrées non validées, des contrôles d'authentification absents, des endpoints exposés, des risques de fuite de données.

S'ils approuvent sans examen, ils assument le risque. S'ils rejettent, ils deviennent le bloqueur. Aucune des deux options n'est bonne.

Les ingénieurs sécurité n'aiment pas dire non. Ils veulent que les fonctionnalités soient livrées en toute sécurité. Mais quand on ne les consulte qu'à la fin, leur seul levier est le veto. Ils l'utilisent parce que l'alternative est de livrer une vulnérabilité.

La cause racine : une implication tardive

Ces deux rôles deviennent des goulots d'étranglement pour la même raison : ils sont traités comme des gardiens à la fin du pipeline au lieu d'être des collaborateurs tout au long du processus. L'équipe construit la fonctionnalité, la teste, et ne demande l'approbation qu'ensuite. À ce stade, tout problème signifie reprise, retard, ou une dérogation risquée.

Ce n'est pas un problème de personnes. C'est un problème de flux de travail.

Shift Left : avancer la revue en amont

La solution est d'impliquer les DBA et les ingénieurs sécurité avant que le code soit écrit, pas après qu'il soit prêt à être déployé. Cette approche est souvent appelée shift left — déplacer les contrôles plus tôt dans le flux de livraison.

Le contraste entre l'ancien et le nouveau flux est clair :

flowchart TD subgraph Old[Ancien flux : Revue tardive] A1[Dev construit la fonctionnalité] --> A2[Tests QA] A2 --> A3[Porte de release] A3 --> A4[Revue DBA/Sécurité] A4 --> A5{Approuvé ?} A5 -- Non --> A6[Bloqué / Reprise] A5 -- Oui --> A7[Release] end subgraph New[Nouveau flux : Shift Left] B1[Revue précoce Dev + DBA/Sécurité] --> B2[Dev construit la fonctionnalité] B2 --> B3[Tests QA] B3 --> B4[Porte de release] B4 --> B5[Release] end A6 -.->|rouge| A6 A5 -.->|rouge| A6 B1 -.->|vert| B1

Pour les changements de base de données, cela signifie qu'un développeur discute du changement de schéma prévu avec le DBA pendant la conception. Le DBA peut dire :

Cette migration peut être exécutée en ligne sans risque.
Ce changement nécessite d'abord une stratégie de backfill.
Cette table a besoin d'une fenêtre de maintenance.
Nous devrions diviser cela en plusieurs migrations plus petites.

Le développeur ajuste le plan avant d'écrire le code. Quand le changement arrive à l'étape de release, le DBA est déjà au courant et a déjà approuvé l'approche. Pas de surprise, pas de retard.

Pour la sécurité, le même principe s'applique. Avant de construire une fonctionnalité d'upload, l'équipe demande : "Quels risques de sécurité cette fonctionnalité introduit-elle ?" L'ingénieur sécurité fournit des conseils en amont : valider les types de fichiers, imposer des limites de taille, stocker les fichiers en dehors de la racine web, exiger une authentification pour l'accès. Le développeur implémente ces éléments dès le départ. Quand la fonctionnalité est prête, la revue sécurité est une formalité, pas une session de découverte.

Rendre le processus asynchrone

Impliquer les DBA et les ingénieurs sécurité en amont ne signifie pas qu'ils assistent à chaque daily standup ou à chaque réunion de conception. Cela ne passe pas à l'échelle. À la place, ils peuvent fournir des artefacts réutilisables :

Un DBA publie des directives pour les changements de schéma sûrs : quelles opérations sont sûres en ligne, lesquelles nécessitent une fenêtre de maintenance, comment estimer la durée de verrouillage.
Un ingénieur sécurité tient à jour une checklist de sécurité pour les types de fonctionnalités courants : upload de fichiers, authentification, endpoints API, export de données.
Les deux rôles proposent des permanences ou des créneaux de revue asynchrones où les développeurs peuvent poser des questions avant d'écrire le code.

Les développeurs utilisent ces ressources pour s'auto-vérifier avant de demander une revue formelle. Le DBA ou l'ingénieur sécurité n'a besoin de revoir que les cas particuliers ou les changements à haut risque. Le reste suit les schémas établis.

La checklist pratique

Avant votre prochaine release, posez-vous ces questions :

Le DBA a-t-il vu les changements de base de données avant le début du développement ?
L'ingénieur sécurité a-t-il examiné la conception de la fonctionnalité pour les risques ?
Existe-t-il des directives écrites pour les migrations sûres et les contrôles de sécurité ?
Les développeurs peuvent-ils s'auto-vérifier par rapport à ces directives avant de demander une revue ?
Existe-t-il un processus de consultation asynchrone, pas seulement des portes de dernière minute ?

Si la réponse à l'une de ces questions est non, vous avez trouvé votre prochain goulot d'étranglement.

Les DBA et les ingénieurs sécurité sont des protecteurs, pas des bloqueurs

Ils existent pour prévenir les incidents de production et les fuites de données. C'est une bonne chose. Le problème survient quand ils sont obligés de faire ce travail au pire moment possible. Quand vous les impliquez tôt, ils peuvent guider, conseiller et protéger sans arrêter la release. Quand vous les impliquez tard, ils n'ont pas d'autre choix que de l'arrêter.

Corrigez le timing, et le bloqueur disparaît.