Qu'est-ce que le devsecops c'est quoi devops secdevops?
Une question? Posez-la ici
Besoin d'un pentests d'intrusion? Contactez la Red Team LGHM
La culture DevSecOps permet d'augmenter la sécurité en réalisant davantage de pentests sur chaque cycle de développements logiciels, par les équipes de pentests
De plus en plus de bug bountys sont ouverts pour la banque finance industrie et les editeurs de logiciels
Pour les devesecops quel apport du bug bounty?
Devsecops = automatiser l'automatisation, obsession de l'automatisation. C'est un idéal qui s'inscrit dans une culture New ways of work cette recherche de design thinking, repenser la manière d'organiser les équipes informatiques en fonction de l'expérience et l'optimisation du delivery.
Contexte, mots clés: culture, automatisation, lean, mesure, partage, transparence. On challenge les managers à des niveaux de transparence très poussés.
Modèle VUCA de la marine américaine: volatilité, incertitude, complexité, ambiguité. Concepts à prendre en compte. Confusion? Compliance?
Excemple avec le covid-19, personne ne pouvait prévoir cette épidémie
Il y avait des cloisons entre les équips de Biz, dev, ops, sec. Les projets en cycles en V montraient leurs limites.
Des méthodes apparaissent, comme AGILE, qui fluidifient, limitent l'incertitudes, la confusion. On va racourcir les cycles de développement et de décision pour prendre la bonne voix.
Qu'est-ce que le devsecops c'est quoi devops secdevops? Philosophie: Security by design
Une question? Posez-la ici
Besoin d'un audit sécurité? Contactez la Red Team LGHM
Comment faire pour que la sécurité devienennt un liant?
Le DevSecOps est une instanciation de cette philisophoie, avec le Shift left pour déplacer la sécurité en amont. Faire porter la responsabilité de la sécurité par le business!
schemas de SLCD: cycle avec DEV - SEC - OPS
On a deja des backlogs, des user stories... Et la sécurité doit apparaitre dans ces éléments. Les développeurs vont devoir les prendre en compte.
Les users stories commencent souvent par "En tant qu'utilisateur, je dois être capable de..."
Dans GIT par exemple, lors des commints, mettre des règles de sécurité dans des hooks.
Les tests de sécurité sont à intégrer dans le framework DEVOPS: analyse statique, analyse dynamique, pour éviter par exemple les mots de passes en dur..
Outils de sécurité : OWASP ZAP jenkins plugin, pentest...
La partie BUILD est importante: la solution est par exemple compilée en une image, avec docker par exemple où il existe enormement de failles. voir l'outil CLAIR qui vérifie que l'image DOCKER respecte les normes de sécurité en norme de packaging. Mais ces normes dépendent du choix qui a été fait par l'équipe.
ANCHORE engine: outil qui permet de detecter les failles de sécurité dans le build.
Qu'est-ce que le devsecops c'est quoi devops secdevops? Phase Deploy: déploiement
Une question? Posez-la ici
Besoin d'un audit de code? Contactez la Red Team LGHM
Phase RUN: supervision, processus plus pousé du traitement des vulnérabilités. Capacité à structurer un process pour digérer les failles et être capable des les traiter dans les délais.
Aujourd'hui, tout éditeur qui se respecte (exemple Microsoft...) s'engage sur des SLA, et s'engage à corriger les failles en un temps défini, lors d'un processus établi.
On teste ensuite en continu une application en production: promotheus
Qu'est-ce que le devsecops c'est quoi devops secdevops? Principe du pentest
Le pentest, c'est faire un test dans un temps limité et ensuite envoyer les résultats à la rémédiation. Généralement 1 pentest par an par application. Il y a du vide entre les campagnes de pentest. La "photo" prise par le pentest devient obsolète. C'est là que le bug bounty est intéréssant: c'est du pentest en continu.
Parlons chiffre:
Campagne de bug bounty: en 1 heure, on trouve une faille en moyenne. Des fois c'est 10 minutes, des fois c'est 3 heures. Ensuite il faut qualifier cette faille pour la rémédiation.
Voir les standards ISO IEC 29147 et 30111 processus de remontées de vulnérabilitées.
Schémas qui permet de mettre en relation les équipes:
Chercheurs externes vers les analystes de sécurité, vers les développeurs ingénieurs, vers la documentation...
Qui fait quoi? Dans quels délais? Pourquoi ne faut-il pas poursuivre le chercheur en justice...
Il faut donc un engagement du business: il faut la capacité à corriger les failles.
Le PO Product owner doit être impliqué: si une faille est qualifiée critique, le product owner doit mettre la rémédiation de cette faille en priorité. Autrement les demandes métiers seront prioritéires à la sécurité.
Exemple: avec une digital factory pour basculer sur des méthodes Agile pour les grands comptes. Les équipes doivent sortir les MVPs rapidement, MAIS la sécurité va devoir s'adapter avec les développeurs etc.
voir le cycle de développement classique: 2 sprints de 2 semaines...
Avoir des indicateurs pour mesurer pour calculer le ROI (les RSSI et les achats demandent des comptes). Le partage, travailler en mode collaboratif, et la mesure sont essentiels.
Voir la comparaison Pentest/Bugbounty.
De 1 à 2 testeurs en pentest, on peut passer à 5 à 10 chercheurs en bug bounty pour le même budget.
PRéférer les interactions automatiques entre les chercheurs en sécurité et les développeurs, via Gitlab, JIRA.
Shift left, empowerment, security by design, everything as code, security champions, use maturity models , bug bounty, vulnerability management, gestion des vulnérabilités.
voir the appsec framework pour situer le process devops en terme de maturité.
Comment impliquer les managers qui ne sont pas techniques? Cela va dépendre de la maturité de l'entreprise, de la place de la technologie, de la vision de la direction. Mais il faut démystifier la sécurité. Sensibiliser, faire des talks en interne, faire intervenir des experts qui peuvent vulgariser.
La sécurité est un sujet business: lors du rachat de Yahoo par Verizon, il y a eu une attaque et une fuite de mots de passes. Verizon a demandé à Yahoo -30% sur les titres. A cause d'une attaque, le titre Yahoo a perdu -30% ! D'où l'interêt de sécuriser...
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus: