L’avènement de l’everything as code, conjugué au plein essor du cloud ont considérablement fait évoluer cible et périmètre de la transformation numérique des entreprises.
Ajoutons à cela les concepts et méthodes Agile désormais omniprésentes dans les équipes opérationnelles et vous aurez posé le décor des sujets actuellement en vogue à la machine à café !
Le WHAT
Le cloud propose de multiples avantages constituant un must dans toute stratégie de transformation numérique digne de ce nom : automatisation, évolutivité, élasticité, gain de productivité, optimisation des couts, accélération du « time to market », …
Que ce soit pour leurs besoins propres ou en tant que fournisseurs d’applications pour leurs clients internes ou externes, les développeurs des DSI sont passés d’équipe de développement au statut très convoité de « Digital Factory ».
Conjugué à l’agilité dans les cycles de développements qui permettent de révolutionner les temps de livraison d’applications, toutes les conditions sont maintenant réunies pour poser les briques fondatrices du système d’information 4.0, le tout en temps et ROI records !
Toutes ? Vraiment ? Et la sécurité, elle en pense quoi ? Oui, oui, la « sécu » ? …
Le principal enjeu du DevSecOps consiste à intégrer de manière native la sécurité dans les processus et outillage du paysage DevOps ou comment allier Sécurité et Agilité.
Le WHY
On ne compte plus les news IT relatives à l’exploitation de vulnérabilités, de failles applicatives qui conduisent au mieux à proposer une activité récréative aux hackers et au pire un vecteur de fuite de données voire de corruption de celles-ci.
Finalement il est aisé de deviner les suites d’un tel préjudice (gestion de crise liée à une communication faite à l’emporte-pièce, fuite de données sensibles, conséquences sur la réputation de l’entreprise, …) auxquelles vous pourrez ajouter des nécessités sans cesse grandissantes de mise en conformité liées aux différentes règlementations.
Agilité et rapidité de développement imposées par le « time to market » ne doivent pas être pour autant synonyme vulnérabilité ou non-conformité des applications livrées !
Intégrer les outils de sécurité à votre plate-forme de développement est possible et se doit d’être un must have.
La sécurité des produits et des application développés constitue de multiples avantages : Confiance, conformité, avantage concurrentiel, et ne doit plus être considérée comme une option.
Le HOW
Secure by Design, mais pas que!
Si dans l’ensemble nous constatons une vraie prise de conscience de la sécurité par les DSI, prônant de facto le paradigme du « Secure by Design », il est toutefois nécessaire de se poser la question sur « Comment inscrire dans la durée ce principe de Secure by Design sans que les processus de validation sécurité régies par la comitologie ne se fasse au détriment de l’Agilité » ?
Le principe d’itération continue des versions étant dans l’ADN de l’agilité, le suivi sécurité et son outillage associé doivent s’inscrire dans l’ADN des cycles Agile des développements projet et s’intégrer nativement dans les processus et outillage DevOps déjà largement déployés.
Le défi du DevSecOps
Le principal défi du DevSecOps consiste donc à intégrer l’ensemble des mesures et outils de sécurité dans la chaine CI/CD afin que ceux-ci soient perçus comme natifs aux workflows DevOps.
Pour ce faire, l’intégration d’outils de sécurité en tant que composante intrinsèque de la chaine CI/CD est un prérequis afin de d’assurer un suivi sécurité en continue du projet.
Les APIs doivent constituer un standard dans les échanges inter-composants afin de faciliter l’intégration de l’outillage dans la chaine CI/CD et ainsi proposer une évaluation de la sécurité en accord avec le niveau d’automatisation attendu.
Ainsi, au-delà des multiples outils disponibles, la mise en œuvre des bonnes pratiques et leurs déclinaisons opérationnelles envisagées, la définition de l’organisation et l’identification des acteurs constituent des facteurs clés de réussite.
Ces éléments résument à eux seuls la gouvernance qui s’attache à définir clairement les « Dos » et « Don ‘ts » de l’organisation en devenir.
De la gouvernance pour encadrer…
Coté gouvernance et définition des exigences de sécurité, une multitude de frameworks (CSA, NIST, OWASP, ANSSI, …) permettent d’avancer sereinement et poser les briques de base.
Les maîtres mots sont les suivants :
- Simplicité et pragmatisme doivent être des drivers – on ne réinvente pas la roue !
- Définir les exigences de sécurité adaptées
- Aux Métiers et risques inhérents en accord avec les DICP cibles des services / applications (une parfaite compréhension du Métier et de ses enjeux est indispensable !)
- Au niveau d’exposition des services à valider
- Aux capacités à accompagner l’acculturation et la gestion du changement
- Aux capacités des équipes DevOps à mettre en œuvre – Des paliers sécurité progressifs et réalistes permettant d’encourager la démarche et de s’intégrer dans une démarche d’amélioration continue telle que défini dans ISO 27001 et son modèle PDCA du SMSI.
- Adopter une approche orientée protection de la donnée en accord avec les règlementations (cartographie du patrimoine informationnel)
- Evangéliser et former à la conduite du changement à l’ensemble des échelons de l’organisation (bonnes pratiques de codage et sécurité des développements, guide d’hygiène, …)
A ce niveau, l’approche par les risques constitue un atout indéniable afin de mettre en avant les risques encourus dans le contexte Métier du service et de l’entreprise. La preuve par l’exemple permettant de poser les enjeux, faciliter la prise de conscience pour au finale évaluer et apprécier le niveau de risque admissible.
Des outils pour détecter …
Coté outillage, SCA (Software Composition Analysis), SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), IAST (Interactive Application Security Testing), RASP (Runtime Application Security Protection) et pentests sur chaque nouvelle version majeure doivent constituer un standard pour détecter des vulnérabilités liées à l’environnement sous-jacent d’exécution.
Pour ce faire, les solutions opensource ou éditeurs ne manquent pas et comme toujours l’expression du besoin permet d’orienter vers la solution la plus adaptée.
Et un engagement à tous les niveaux !
Enfin pour terminer l’indispensable de tout projet : L’adhésion, l’implication et le sponsor de l’équipe de management.
Les changements des usages sont difficilement envisageables sans l’appui du plus haut niveau hiérarchique.
Metanext à vos côtés
Proposant une vision 360° du Cloud, de ses enjeux et risques, Metanext à travers ses practice GRC SSI – offre MultiCloud Security et practices Cloud Opensource, Public Cloud et VMWare se base sur près de 20 années d’expertises et d’expériences sur ce type d’environnements pour assister ses clients en tant que Cloud & Security Advisor/Expert sur les sujets d’intégration de la sécurité dans les développements Agile DevSecOps, sécurisation des environnements de conteneurisation et virtualisés.
Metanext accompagne ses clients sur leurs stratégies globales GoTo Multicloud, étude d’opportunité, FinOps, comparatif technologique, stratégie et gouvernance sécurité des environnements Cloud et virtualisés, comparatif d’outillage.
