X
Alain Clapaud / samedi 20 juillet 2019 / Thèmes: Dossier, Sécurité

DevSecOps

Comment faire rimer cybersécurité et agilité

À l’intersection du développement, de l’exploitation et de la sécurité, DevSecOps vise à réconcilier trois populations aux intérêts souvent divergents. Inculquer vitesse et agilité aux experts sécurité n’a rien de simple alors que ceux-ci doivent garantir la pérennité du système d’information sur la durée.

DevSecOps vient ajouter la composante cybersécurité aux démarches DevOps des entreprises. L’enjeu est bien de pouvoir sécuriser au plus tôt les développements afin de ne pas freiner les sprints des développeurs.

Pas de stratégie DevSecOps possible sans une forte culture CI/CD dans l’entreprise, une plate-forme cloud ou On-Premise qui fonctionne et une automatisation à outrance des outils de test, de build et de déploiement.

Pour les développeurs et les exploitants, ceux qui parlent sécurité sont ceux qui disent non ! Parfois, ouvrir un simple port sur un firewall – quelques clics – a tout du parcours du combattant. Incompréhensible pour les développeurs, qui livrent leur code à rythme élevé, qu’il faille des semaines parfois des mois pour que le RSSI leur ouvre un simple port sur le firewall. Et pourtant, quand on regarde les statistiques des tentatives d’intrusion dans les systèmes informatiques des entreprises, on peut comprendre que les responsables de la sécurité soient plus que prudents et réticents à faire évoluer les protections du SI en temps réel.

À l’heure de la transformation digitale et de l’agilité triomphante, il faut revoir la façon de gérer la sécurité dans les entreprises et surtout savoir comment concilier ce besoin d’agilité et de sécurité renforcée. Ces deux notions antagonistes dans une approche traditionnelle peuvent fonctionner de concert, c’est en tout cas ce que poussent les évangélistes de DevSecOps.

 

Une étude bien connue du NIST et de Ponemon Institute démontre que plus un bug ou une faille de sécurité est détectée tard dans le cycle de vie de l’application, plus il est coûteux de le corriger, avec un écart de pratiquement 1 à 100 entre la phase de déploiement et la correction en phase de maintenance.

Des outils et des méthodes

Basculer dans une approche DevSecOps demande déjà une maturité forte en termes de chaîne de développement et d’intégration continue. L’entreprise doit déjà avoir automatisé tout ou au moins une grande partie de son CI/CD (Continuous Integration/ Continuous Delivery) avant d’envisager y intégrer des briques de sécurité et faire entrer dans la danse les experts de sécurité. L’un des points-clés de la démarche, c’est privilégier l’automatisation à outrance en intégrant les outils de sécurité à la chaîne d’intégration continue. On peut ainsi amener les développeurs à produire un code « Secure by Design » en lui faisant traverser une série de tests de sécurité bien avant sa mise en production ou même le build. Tout comme le debugging, la traque des failles de sécurité doit être menée au plus tôt, c’est-à-dire là où il sera le moins coûteux de les corriger.

D’autres phases du cycle de vie de l’application peuvent être instrumentées d’outils de cybersécurité, qu’il s’agisse de détecter les vulnérabilités en production ou encore tisser des liens avec la Threat Intelligence ou même les SIEM vers lesquels convergent les logs de fonctionnement de l’application en production et le SOC lui-même.

Pour Bertrand Méens, CTO de l’entreprise Oskab, l’intégration de la sécurité dans une plate-forme DevOps passe par la réflexion de constituer son Security Pipeline pour outiller la sécurité dans l’usine à développement : « Il est essentiel de ne plus penser à intégrer la sécurité dans les projets mais dans le cycle de vie des applications (SDLC). Le Security Pipeline intègre des outils de sécurisation (audit de code SAST/DAST, audit d’intrusion ou Bug Bounty…) pour améliorer le niveau de sécurité intrinsèque de l’application et des outils de protection (WAF, IPS voire des structures comme le SOC) pour se défendre contre les attaques indépendamment du nouveau de sécurité. » Pour cet expert, il n’existe pas un seul outil incontournable ; il faut additionner plusieurs outils et ainsi concevoir sa boîte à outils en fonction de ses besoins, de son budget et de sa maturité.

L’OWASP a référencé une série d’actions à mener tout au long du cycle de vie de l’application afin de faire tendre la chaîne d’intégration continue vers les concepts DevSecOps.

Pénurie de ressources humaines

Outiller les chaînes CI/CD est un prérequis indispensable, mais c’est encore insuffisant pour décrocher son label « DevSecOps ». En effet, il faut impliquer l’équipe de sécurité dans les équipes DevOps et cela n’a rien de simple. Impossible d’allouer un RSSI à chaque équipe DevOps afin que celui-ci assiste aux “stand-up meetings” du matin de chaque équipe en sprint. Les RSSI sont des ressources rares et chères qu’il faut allouer au mieux. Une solution souvent usitée est de désigner un développeur, qui, formé aux enjeux de la sécurité dans le code, se voit bombardé DevSecOps leader et chargé de prêcher la bonne parole et surtout les bonnes pratiques au sein de l’équipe DevOps à laquelle il appartient. Bien évidemment RSSI, Pentester, ingénieurs de sécurité vont être amenés à intervenir lors des sprints lorsque le besoin s’en fait sentir. Pour Nicolas Bousquet, Responsable Sécurité Applicative chez Octo Technology, ce Security Champion doit jouer le rôle d’ambassadeur des bonnes pratiques de sécurité dans l’équipe DevOps : « Il ne s’agit pas nécessairement d’un expert, il peut toujours s’appuyer sur l’expertise de l’équipe sécurité, mais c’est notamment lui qui va mettre à jour la gestion des risques, ajouter des exigences de sécurité dans les User Stories lorsque c’est nécessaire, ajouter des End User Stories, c’est-à-dire se mettre à la place d’un utilisateur malveillant à qui on veut interdire telle ou telle manipulation lors de chaque sprint. Cela permet d’écrire noir sur blanc le comportement de sécurité qui est attendu de l’application. »

Les principaux outils du DevSecOps

Des référentiels de bonnes pratiques DevSecOps sont apparus, notamment ceux de l’OWASP (Open Web Application Security Project) et du SANS Institute, organisation regroupant bon nombre d’experts en cybersécurité. De son côté, le MITRE a référencé plus de huit cents vulnérabilités logicielles dans son CWE (Common Weakness Enumeration), tandis que l’OWASP a créé le DevSecOps Studio, un environnement virtuel qui permet de s’entraîner et se former aux concepts DevSecOps avant de chercher à les appliquer en grandeur réelle.

Si DevOps progresse rapidement dans les entreprises, l’Europe est à la traîne dans l’adoption de la démarche DevSecOps, notamment comparée aux États-Unis mais ce qui manque le plus à l’essor de ce DevSecOps, c’est la pénurie de compétences en sécurité applicative, un mal chronique en France qui freine aujourd’hui la transformation digitale de nombre d’entreprises.

 


« La sécurité doit faciliter le changement et l’innovation ! »

Nicolas Bouquet, responsable sécurité applicative chez Octo Technology

« Beaucoup d’entreprises viennent nous voir afin de mettre en place DevSecOps et implémenter des outils pour automatiser la sécurité. Le volet automatisation des tests est sans doute celui qui est le plus facile à mettre en place. Cela permet de découvrir les failles de sécurité au plus tôt dans la chaîne de développement mais de commencer par l’outillage pour pouvoir dire que l’on a basculé dans DevSecOps est une erreur. En effet, la partie culturelle et organisationnelle de la démarche est tout aussi importante, voire plus, dans le succès de la démarche. DevSecOps et DevOps sont des enfants des méthodes agiles. L’agile s’est attaché à briser le mur d’incompréhension entre les développeurs et les métiers. DevSops s’est ensuite attaqué au mur entre développeurs et exploitants en charge des infrastructures. Reste encore ce mur avec la sécurité qui est en général une équipe bien à part, et qui est considéré comme l’interlocuteur qui dit non aux nouveaux outils dans le Cloud, aux nouvelles applications, etc. L’approche est de transformer les pratiques pour que la sécurité facilite les changements, faciliter l’innovation. La sécurité doit être orientée métier, comprendre les besoins des métiers afin de faciliter le business, c’est une transformation de la sécurité qui va au-delà de DevSecOps. »


« Les équipes DevOps doivent  prendre en compte la sécurité  le plus en amont possible »

Bruno Riguet, expert sécurité chez Renault Digital

« Notre vision de la sécurité, c’est d’une part la sécurité “ by design ”, la sécurité avant-gardiste et enfin l’amélioration continue. Nous voulons prendre en compte la sécurité le plus en amont possible dans les projets mais aussi dans l’infrastructure. Le volet avant-gardiste de notre approche passe par une veille technologique pour trouver de nouvelles solutions, réaliser des poc. Enfin, le volet amélioration continue, c’est le PDCA, améliorer sans cesse ce qui a pu être mis en place. Dans ce cadre, le rôle de l’équipe DevSecOps, c’est d’une part l’incubation de la sécurité dans les équipes projet, c’est-à-dire aider et supporter les équipes DevOps afin qu’elles prennent en compte la sécurité le plus en amont possible. Cela passe notamment par la réalisation de poc puis de mise en place des outils pour le faire, délivrer les solutions. Ensuite, la démarche qui est propre à Renault Digital, c’est que nous permettons à nos équipes de se challenger afin de progresser. Les équipes doivent apprendre les meilleures pratiques, mais aussi être conscientes des enjeux de la sécurité dans leur travail. Il est nécessaire de responsabiliser les équipes projet, que les actions prises ont un impact pour eux. »


« Attention à ne pas oublier de sécuriser la plate-forme DevOps elle-même ! »

Bertrand Méens, CTO d’Oskab

« Inclure la sécurité dans la culture DevOps est un double enjeu : on pense instinctivement à intégrer les principes de sécurité dans le DevOps, dans l’organisation comme dans l’outillage, mais il ne faut pas oublier de sécuriser la plate-forme DevOps. Par plateforme DevOps, j’entends la boîte à outils qui constitue l’usine à développement du repository (Git, SVN…) pour les sources à l’infrastructure d’hébergement (Cloud, Virtual Datacenter, Container, Serverless…) en passant par les outils CI/CD. Dans un environnement de développement non-DevOps, les développeurs et les administrateurs sont majoritairement dans des équipes séparées avec une automatisation faible et des droits d’accès aux environnements de production globalement bien identifiés. Le DevOps décloisonnant l’organisation et augmentant l’automatisation, ce sont des outils, pour ne nommer qu’eux, comme Jenkins, Gitlab CI, Ansible ou Terraform qui assurent les mises en production et qui deviennent donc les nouveaux administrateurs. Dans ce contexte, un outil de CI/CD devient une cible de choix pour le pirate pour le risque d’intrusion, il est plus aisé de s’introduire dans un seul outil, qui administre les serveurs de production, que sur tous les serveurs de production. »

3952

x
Rechercher dans les dossiers
Les derniers dossiers...
Réduire

Actuellement à la Une...
Le géant du e-commerce annonce avoir terminé la migration de ses bases de données, abandonnant Oracle au profit de sa propre infrastructure AWS. Un chantier gigantesque, on parle de 75 petabytes de données, et une pomme de discorde entre l’entreprise de Jeff Bezos et celle de Larry Ellison.

Il manque de moins en moins de cordes à l’arc de l’entreprise spécialisée dans la gestion des données sensibles. Oodrive vient d’obtenir la certification d’Hébergeur de Données de Santé (HDS), lui permettant de proposer ses solutions aux établissements de santé mais aussi aux assurances.

Quatre mois après avoir ouvert une enquête et communiqué ses griefs à Broadcom, soupçonné de pratiques anticoncurrentielles et d’abus de position dominante, la Commission européenne hausse le ton. Elle vient d’ordonner au géant des puces de cesser d’imposer certaines clauses à ses clients, à savoir les exigences d’exclusivité.

Mountain View tenait hier soir conférence à New York afin de présenter ses nouveaux produits. Dont les habituelles nouvelles itérations des smartphones Pixel, notables par l’intégration d’un radar servant à la reconnaissance des mouvements.

La jeune pousse française annonce avoir levé 110 millions de dollars auprès, notamment, d’Accel et de Salesforce Ventures. Cette startup spécialisée dans les moteurs de recherche entend poursuivre son développement à l’international.

La très populaire commande sudo, présente sur la quasi-totalité des distributions Linux et Unix, permettait à n’importe quel utilisateur de contourner les politiques de sécurité définies par l’administrateur et de s’accorder un accès root. Cette vulnérabilité documentée lundi a été corrigée depuis.

OnePanel est une très jeune entreprise fondée en 2017. Sa solution consiste en une plate-forme ouverte et extensible pour concevoir, entraîner et déployer massivement des applications réutilisables d’apprentissage profond.

L’éditeur d'un système de base de données s’appuyant sur des processeurs graphiques propose maintenant une solution complète d’outils analytiques qu’il dépeint comme une solution d’analytique active, un concept pour une plate-forme simplifiée dans son architecture pour déployer massivement des applications analytiques. 

La plateforme collaborative s’apprête à ouvrir un bureau en France, sous la direction de Jean-Marc Gottero. Il sera aux commandes d’une équipe d’une dizaine de consultants et de commerciaux.

Compliance.ai est une jeune entreprise qui a mis deux ans et demi à mettre au point une plate-forme pour la gestion de la conformité dans le secteur financier qui s’appuie sur des éléments d’intelligence artificielle et d’apprentissage machine.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs