Tendances & futur du métier

GitOps (déclaratif), Platform Engineering (IDP), DevSecOps (sécurité intégrée), FinOps (coûts cloud), IA & Automatisation (prédictif & auto-remédiation), Edge & Serverless (nouvelles archis).

GitOps Platform Engineering DevSecOps FinOps IA & Auto-remédiation Edge & Serverless

Cheat-sheet — tendance → problème résolu → approche → livrables → KPIs → guardrails

Tendance	Problème	Approche	Livrables	KPIs	Guardrails
GitOps	Drift, déploiements manuels	Git = source de vérité, reconcile loop	Repos env, Argo/Flux apps, policies	Drift=0, TTFD ↓, échecs change <10%	RBAC min., images signées, PR obligatoires
Platform Eng.	Hétérogénéité, time-to-first-deploy	IDP, golden paths, self-service	Templates, catalogues, scorecards DX	Adoption >70%, TTFD <2j	RFC légers, SLA plateforme, SLO packs
DevSecOps	Vulnérabilités tardives	Shift-left SAST/DAST/SCA/SBOM	Pipelines sécurisés, attestations	Vuln. crit. 0 en prod, SLA patch	Cosign/OPA, secrets gérés, audit immuable
FinOps	Dérive des coûts cloud	Mesure, tagging, budgets & rightsizing	Budgets, alertes, rapports par produit	€/req ↓, % taggé >95%, waste ↓	Quotas, alerting coûts, revues mensuelles
IA & Auto	Bruit & MTTR élevés	Anomalie/ML, runbooks automation	Playbooks, bots, features prédictives	Bruit <2%, MTTR <60m	Approvals, mode “dry-run”, audit
Edge/Serverless	Latence, burst, échelle	Fonctions/event-driven, edge nodes	Infra as code, policies, observabilité	p95 ↓, cold starts ↓, €/invoc. ↓	Limites de sortie, sécurité zero-trust

Échelle de maturité (0→3) par tendance

Tendance	0	1	2	3
GitOps	YAML à la main	Sync manuel	Argo/Flux envs	Multi-tenancy, policies, progressive delivery
Platform	Scripts ad hoc	Templates	IDP v1	Self-service + scorecards + SLO plateforme
DevSecOps	Scans ponctuels	SAST/DAST CI	SBOM + signing	Provenance & gates risk-based
FinOps	Pas de tags	Budgets	Rapports produits	Showback/chargeback automatisé
IA/Auto	Alertes brutes	Runbooks	Auto-remédiations limitées	Prédictif + canary-fix
Edge/Serverless	Monolithes DC	Fonctions isolées	Event-driven	Multi-régions edge orchestrées

Principes & patterns

Git = état cible; pull (reconcile) côté cluster; PR = change control.
Overlays Kustomize/Helm, stratégies env-per-branch ou repo par env.
Progressive delivery : Argo Rollouts canary/blue-green + gates SLO.
Secrets : SOPS/SealedSecrets; images signées (cosign) + policy admission.

KPIs & guardrails

Drift = 0; temps de sync < 5 min; rollback < 10 min.
RBAC minimal, OIDC, approbations PR, scans policy (Conftest/OPA).

Snippets

# ArgoCD Application (extrait)
apiVersion: argoproj.io/v1alpha1
kind: Application
spec:
  source: { repoURL:"...", path:"overlays/prod", targetRevision:"main" }
  destination: { server:"https://kubernetes.default.svc", namespace:"app" }
  syncPolicy: { automated:{ prune:true, selfHeal:true }, syncOptions:["CreateNamespace=true"] }

# Flux Kustomization (extrait)
apiVersion: kustomize.toolkit.fluxcd.io/v1
kind: Kustomization
spec:
  interval: 1m
  path: "./clusters/prod"
  prune: true
  wait: true

# Policy OPA (extrait) — images signées
package k8s.policy
deny[msg] {
  input.kind.kind == "Deployment"
  not input.spec.template.spec.containers[_].imageSigned
  msg := "Image non signée interdite"
}

Anti-patterns & migrations

Actions manuelles in-cluster, :latest, secrets en clair → à bannir.
Migrer par service : CI image signée → PR manifests → Argo app.
Rituels : revue GitOps hebdo, nettoyage ressources & rétention.

Stack & missions

IDP = portail + templates app/pipelines/observabilité + GitOps + policy-as-code.
Service catalog (ownership, SLO, coûts), scorecards DX (TTFD, NPS dev).
SLA plateforme (uptime, support), SLO packs par type d’app.

KPIs

Adoption > 70%, TTFD médian < 2 jours, tickets “how-to” ↓.

Exemples

# Blueprint IDP (YAML)
idp:
  templates: ["svc-api","job-batch","web"]
  stack: {git:"GitHub", ci:"Actions", cd:"ArgoCD", iac:"Terraform", obs:"Prom+Loki+Grafana"}
  policies: ["OPA","signed-images","SOPS-secrets"]

# Golden path Makefile (extrait)
make init           # bootstrap repo + pipeline + chart
make dev            # run local stack
make deploy ENV=staging
make slo            # génère SLO + alertes

Guardrails & anti-patterns

RFC légers avant ajout d’outils; catalogue clair “build vs buy”.
Anti-patterns : “shadow platform”, standard imposé sans DX ni support.
FinOps : coût/svc & alertes; capacité à dés-enrôler proprement.

Pratiques

Shift-left : SAST/DAST/SCA, IaC scan, SBOM (syft), signatures (cosign), provenance.
OPA/Conftest : gates risk-based; secrets gérés (Vault/SOPS) & OIDC runners.
Evidence-as-code : rapports versionnés, journaux immuables.

KPIs

Vuln. crit. en prod = 0, SLA patch < 7 j, secrets exposés = 0.

Snippets

# CI — SBOM + signature (extrait)
- run: syft . -o json > sbom.json
- run: cosign sign --key cosign.key ghcr.io/acme/app:$

# Conftest (Rego) — no :latest
package policy
deny[msg] { input.spec.template.spec.containers[_].image == /:latest$/; msg := "Tag :latest interdit" }

# Gitleaks (pre-commit)
- repo: https://github.com/zricethezav/gitleaks
  rev: v8.18.0
  hooks: [{ id: gitleaks }]

Guardrails & anti-patterns

Masquage logs, rotation < 90 j, clés courtes (STS), mTLS.
Anti-patterns : “scan-and-forget”, remédiations non suivies, exceptions sans échéance.

Cadre

Tagging obligatoire (owner, env, produit), budgets + alertes.
Rightsizing/Autoscaling, réservations/plans d’épargne, egress & cache.
Showback/chargeback, coûts par SLO (€/9s de disponibilité).

KPIs

% ressources taggées > 95%, variance budget < 5%, coût/req ↓ QoQ.

Snippets

# Politique tags (pseudo)
required_tags: ["product","owner","env","cost_center"]

# CI Infracost (extrait)
- uses: infracost/actions/setup@v2
- run: infracost breakdown --path terraform/ --format json --out-file cost.json

# Alerte budget (pseudo)
if spend_month >= 80% budget: notify finance+owner

Guardrails & anti-patterns

Quotas/limites, politiques d’egress, règles d’instance par défaut raisonnables.
Anti-patterns : “all-you-can-eat”, absence de tags, tests charge non budgétés.

Cas d’usage

Détection d’anomalies (saisonnalité, ruptures) → pré-alerte.
Auto-remédiations : scale-up, purge cache, redéploiement canary, rotation certificat.
Assistants runbooks : résumé d’incident, suggestions d’actions & liens runbooks.

KPIs

Bruit < 2%, MTTA < 5–10 min, MTTR < 60 min, faux positifs ↓.

Exemples

# Alertmanager → webhook (auto-remediation)
routes:
  - match: {severity: "page"}
    receiver: "runbook-bot"

# Playbook (pseudo)
if error_rate > 2% and canary:
  reduce_traffic_to 0%
  rollback to N-1
  invalidate cache
  post SBAR to #prod-incidents

# Garde-fous (policy)
mode: dry-run | approve | auto
max_actions_per_hour: 3
require_canary: true

Guardrails & risques

Toujours journaliser + “dry-run” + approbations; sandbox & tests chaos.
Anti-patterns : boucles auto-réactives, actions destructrices sans canary.
Confidentialité : PII masquée; pas de secrets dans prompts/logs.

Patterns

Fonctions stateless, event-driven; queues/retries/idempotence.
Edge compute/CDN workers; K3s/mini-clusters en périphérie.
Observabilité “distribuée” (logs/trace/metrics corrélés).

KPIs

p95 latence ↓, cold starts < 200–500 ms, coût/invoc ↓, erreurs < 1–2%.

Exemples

# IaC — concurrence & timeouts (pseudo)
function:
  memory: 512Mi
  timeout: 15s
  reserved_concurrency: 50

# Policy réseau edge (pseudo)
deny egress if !domain in allowlist
require TLS v1.2+

# Observabilité (NRQL/PromQL-like)
SELECT p95(duration) WHERE fn="checkout" TIMESERIES

Guardrails & coûts

Protection contre tempêtes d’événements (DLQ, backoff, circuit breaker).
Egress & stockage : budgets/alertes; cache TTL; pré-chauffage fonctions.
Anti-patterns : logique stateful, dépendances lourdes, secrets packagés.

Tendances & futur du métier

Cheat-sheet — tendance → problème résolu → approche → livrables → KPIs → guardrails

Échelle de maturité (0→3) par tendance

1. GitOps

2. Platform Engineering

3. DevSecOps

4. FinOps

5. IA & Automatisation

6. Edge & Serverless