Publicité
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!

Check these out next

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
OCTO Technology
Présentation travail du stage
Présentation travail du stage
Taoufiq Bahalla
La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après"
OCTO Technology
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
OCTO Technology
La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ?
OCTO Technology
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du Cloud
OCTO Technology
La Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tous
OCTO Technology
La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"
OCTO Technology
1 sur 43

La Duck Conf - Continuous Security : Secure a DevOps World!

14 Feb 2020
Technologie

La sécurité peut-elle être vue autrement qu’un milestone de fin de projet ?Nous vous parlerons d'intégration continue et des moyens existants pour ajouter dès aujourd'hui la problématique de sécurité dans votre pipeline.

OCTO Technology
OCTO Technology
Publicité
Publicité
Publicité

Recommandé

La Duck Conf - "Elle est ou ton appli ? Dans mon kube"La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"OCTO Technology151 vues42 diapositives
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" OCTO Technology97 vues30 diapositives
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"OCTO Technology49 vues40 diapositives
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...OCTO Technology522 vues19 diapositives
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...OCTO Technology90 vues41 diapositives
La Duck Conf : "Observabilité"La Duck Conf : "Observabilité"
La Duck Conf : "Observabilité"OCTO Technology694 vues40 diapositives

Contenu connexe

Présentations pour vous(20)

Matinale DevSecOps League : Sortez la sécurité de l'obscurantismeMatinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
OCTO Technology822 vues
Présentation travail du stagePrésentation travail du stage
Présentation travail du stage
Taoufiq Bahalla57 vues
La Duck Conf - "Mise en prod de la data science : le jour d'après" La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après"
OCTO Technology271 vues
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
OCTO Technology1.3K vues
La Duck Conf - DevOps et Dataviz, un amour impossible ? La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ?
OCTO Technology108 vues
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du Cloud
OCTO Technology192 vues
La Duck Conf - CovidTracker, la data au service de tousLa Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tous
OCTO Technology253 vues
La Duck Conf : "Microservices et transactions distribuées"La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"
OCTO Technology752 vues
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
OCTO Technology75 vues
Le Comptoir OCTO - Data Science Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science
OCTO Technology450 vues
Sensibilisation à l'Agile Sensibilisation à l'Agile
Sensibilisation à l'Agile
OCTO Technology142 vues
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
OCTO Technology633 vues
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
OCTO Technology207 vues
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
OCTO Technology715 vues
La Duck Conf - Une équipe plateforme qui délivreLa Duck Conf - Une équipe plateforme qui délivre
La Duck Conf - Une équipe plateforme qui délivre
OCTO Technology102 vues
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileLe Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
OCTO Technology451 vues
Le Comptoir OCTO - Le Cloud souverainLe Comptoir OCTO - Le Cloud souverain
Le Comptoir OCTO - Le Cloud souverain
OCTO Technology243 vues
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
OCTO Technology1.1K vues
Le Comptoir : Les Chatbot stores en 2020Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020
OCTO Technology1.4K vues
Accelerate : la vitesse conditionne l'excellence Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence
OCTO Technology2.2K vues

Similaire à La Duck Conf - Continuous Security : Secure a DevOps World!(20)

Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiques
Joseph Glorieux866 vues
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
OCTO Technology Suisse2.5K vues
Comptoir x La Duck Conf - Utiliser une solution d'edge Open Source pour améli...Comptoir x La Duck Conf - Utiliser une solution d'edge Open Source pour améli...
Comptoir x La Duck Conf - Utiliser une solution d'edge Open Source pour améli...
OCTO Technology19 vues
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
Emmanuel Roldan445 vues
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
OCTO Technology21 vues
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans rupture
Guillaume Laforge1.5K vues
20171122 01 - REX : Intégration et déploiement continu chez Engie20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie
LeClubQualiteLogicielle1K vues
L'histoire d'une infrastructure itérativeL'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérative
François Xavier Vende39 vues
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
Publicis Sapient Engineering656 vues
Déploiement, orchestration & sécurisation d’APIsDéploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIs
Nicolas Herbaut287 vues
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du Cloud
Michel-Marie Maudet2.4K vues
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratique
bertrandmeens2.7K vues
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
Cisco Canada6.5K vues
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
FactoVia505 vues
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
Julien Vq1.3K vues
Gestion des drifts Terraform avec la méthode GitOpsGestion des drifts Terraform avec la méthode GitOps
Gestion des drifts Terraform avec la méthode GitOps
Katia HIMEUR TALHI457 vues
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
Jerome Blanc692 vues
OpenStack - open source au service du CloudOpenStack - open source au service du Cloud
OpenStack - open source au service du Cloud
LINAGORA1.7K vues
IonicIonic
Ionic
Stéphanie MOALLIC775 vues
Paris Container Day 2016 : Architecture microservices hautement disponible au...Paris Container Day 2016 : Architecture microservices hautement disponible au...
Paris Container Day 2016 : Architecture microservices hautement disponible au...
Publicis Sapient Engineering770 vues
Publicité

Plus de OCTO Technology(20)

RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les fronts
OCTO Technology5 vues
RefCard RESTful API DesignRefCard RESTful API Design
RefCard RESTful API Design
OCTO Technology5 vues
RefCard API Architecture StrategyRefCard API Architecture Strategy
RefCard API Architecture Strategy
OCTO Technology14 vues
LA DUCK CONF 2023 - Journal de bord d’un archi dans l’océan du greenLA DUCK CONF 2023 - Journal de bord d’un archi dans l’océan du green
LA DUCK CONF 2023 - Journal de bord d’un archi dans l’océan du green
OCTO Technology5 vues
LA DUCK CONF 2023 - Sous le capot du cloud souverainLA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverain
OCTO Technology56 vues
LA DUCK CONF 2023 - Ré-urbanisation d'un SI à travers une archi évolutiveLA DUCK CONF 2023 - Ré-urbanisation d'un SI à travers une archi évolutive
LA DUCK CONF 2023 - Ré-urbanisation d'un SI à travers une archi évolutive
OCTO Technology10 vues
LA DUCK CONF 2023 - Parce que nos plateformes le valent bienLA DUCK CONF 2023 - Parce que nos plateformes le valent bien
LA DUCK CONF 2023 - Parce que nos plateformes le valent bien
OCTO Technology17 vues
LA DUCK CONF 2023 - Guider, faire, faire faire ? Une solitude partagée entre ...LA DUCK CONF 2023 - Guider, faire, faire faire ? Une solitude partagée entre ...
LA DUCK CONF 2023 - Guider, faire, faire faire ? Une solitude partagée entre ...
OCTO Technology18 vues
LA DUCK CONF 2023 - Guide de survie du Change Data CaptureLA DUCK CONF 2023 - Guide de survie du Change Data Capture
LA DUCK CONF 2023 - Guide de survie du Change Data Capture
OCTO Technology5 vues
LA DUCK CONF 2023 - Architecture analytics : déjà-vu ?LA DUCK CONF 2023 - Architecture analytics : déjà-vu ?
LA DUCK CONF 2023 - Architecture analytics : déjà-vu ?
OCTO Technology14 vues
Le Comptoir OCTO - ChatGPT : Menace ou opportunité ?Le Comptoir OCTO - ChatGPT : Menace ou opportunité ?
Le Comptoir OCTO - ChatGPT : Menace ou opportunité ?
OCTO Technology170 vues
Le Comptoir x La Duck Conf - Architecture Hexagonale & Clean architecture : b...Le Comptoir x La Duck Conf - Architecture Hexagonale & Clean architecture : b...
Le Comptoir x La Duck Conf - Architecture Hexagonale & Clean architecture : b...
OCTO Technology118 vues
Le Comptoir OCTO - Mouv’ ton orga ProduitLe Comptoir OCTO - Mouv’ ton orga Produit
Le Comptoir OCTO - Mouv’ ton orga Produit
OCTO Technology123 vues
Le Comptoir x OCTO Academy : La Data au coeur des enjeux de compétitivitéLe Comptoir x OCTO Academy : La Data au coeur des enjeux de compétitivité
Le Comptoir x OCTO Academy : La Data au coeur des enjeux de compétitivité
OCTO Technology122 vues
Le Comptoir OCTO x Allianz Trade - Amélioration de la collaboration et de la ...Le Comptoir OCTO x Allianz Trade - Amélioration de la collaboration et de la ...
Le Comptoir OCTO x Allianz Trade - Amélioration de la collaboration et de la ...
OCTO Technology234 vues
Le Comptoir OCTO x Datarobot - La démocratisation de l'IA en action. Le Comptoir OCTO x Datarobot - La démocratisation de l'IA en action.
Le Comptoir OCTO x Datarobot - La démocratisation de l'IA en action.
OCTO Technology180 vues
Le Comptoir OCTO x Dataiku x Snowflake - COMMENT CRÉER PLUS DE VALEUR ET DEVE...Le Comptoir OCTO x Dataiku x Snowflake - COMMENT CRÉER PLUS DE VALEUR ET DEVE...
Le Comptoir OCTO x Dataiku x Snowflake - COMMENT CRÉER PLUS DE VALEUR ET DEVE...
OCTO Technology282 vues
Le Comptoir OCTO x La Duck Conf - Mutualisation, aide à la décision !Le Comptoir OCTO x La Duck Conf - Mutualisation, aide à la décision !
Le Comptoir OCTO x La Duck Conf - Mutualisation, aide à la décision !
OCTO Technology304 vues
Le Comptoir OCTO x La Duck Conf - La confiance dans les systèmes intelligentsLe Comptoir OCTO x La Duck Conf - La confiance dans les systèmes intelligents
Le Comptoir OCTO x La Duck Conf - La confiance dans les systèmes intelligents
OCTO Technology199 vues
Le Comptoir OCTO x La Duck Conf - L'EDGE COMPUTING, CHALLENGER OU PARTENAIRE ...Le Comptoir OCTO x La Duck Conf - L'EDGE COMPUTING, CHALLENGER OU PARTENAIRE ...
Le Comptoir OCTO x La Duck Conf - L'EDGE COMPUTING, CHALLENGER OU PARTENAIRE ...
OCTO Technology154 vues

Dernier(20)

Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptx
OthmaneMansouri13 vues
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone Le Comptoir OCTO - L'avenir de la gestion du bilan carbone
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone
KarenEdnaOtala6 vues
2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf 2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf
2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf
DilanTiobou6 vues
web-consultation.pdfweb-consultation.pdf
web-consultation.pdf
Webwingz8 vues
RLE EGIS_Projet_Man vers BE S2.pptRLE EGIS_Projet_Man vers BE S2.ppt
RLE EGIS_Projet_Man vers BE S2.ppt
cherif363 vues
Remapping des touches d'une carte Makey Makey.pdfRemapping des touches d'une carte Makey Makey.pdf
Remapping des touches d'une carte Makey Makey.pdf
Marvin Rohmer3 vues
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
badrboutouja15 vues
Et si la véritable révolution, c'était d'aborder les technologies comme des c...Et si la véritable révolution, c'était d'aborder les technologies comme des c...
Et si la véritable révolution, c'était d'aborder les technologies comme des c...
Sandrine Lambert45 vues
Ch2_Les modèles OSI et TCP_IP.pptxCh2_Les modèles OSI et TCP_IP.pptx
Ch2_Les modèles OSI et TCP_IP.pptx
OthmaneMansouri18 vues
WEB 2.0.pdfWEB 2.0.pdf
WEB 2.0.pdf
DianaMontenegroDiaz2 vues
3 Long Beeps On Startup: What To Do?3 Long Beeps On Startup: What To Do?
3 Long Beeps On Startup: What To Do?
AffanIT13 vues
Présentation2correctionb3cybersecuritep92.pptxPrésentation2correctionb3cybersecuritep92.pptx
Présentation2correctionb3cybersecuritep92.pptx
BTSSIOcompterendu2020 vue
EXemple 1.pptxEXemple 1.pptx
EXemple 1.pptx
safiYassin5 vues
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
blackmambaettijean5 vues
Diapos Cours IMMUNO 2022-2023.pdfDiapos Cours IMMUNO 2022-2023.pdf
Diapos Cours IMMUNO 2022-2023.pdf
JeanLucKonan43 vues
Is Web 3.0 The Metaverse?Is Web 3.0 The Metaverse?
Is Web 3.0 The Metaverse?
AffanIT13 vues
Chauffage à la biomasse.docxChauffage à la biomasse.docx
Chauffage à la biomasse.docx
Laporte75 vues
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
hasna92088812 vues
S43-PreChap4.pptxS43-PreChap4.pptx
S43-PreChap4.pptx
OthmaneMansouri11 vue
La-Fiabilité (1).pptxLa-Fiabilité (1).pptx
La-Fiabilité (1).pptx
IlyassOussama11 vue
Publicité

La Duck Conf - Continuous Security : Secure a DevOps World!

  1. OCTO Part of Accenture Digital © 2019 - All rights reserved
  2. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
  3. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
  4. Go faster 01
  5. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
  6. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
  7. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
  8. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
  9. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
  10. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
  11. 02Continuous Security
  12. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
  13. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
  14. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  15. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
  16. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
  17. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  18. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
  19. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
  20. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
  21. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  22. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
  23. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
  24. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  25. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
  26. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
  27. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  28. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
  29. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
  30. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  31. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
  32. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
  33. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  34. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
  35. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
  36. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
  37. #LaDuckConf by OCTO Technology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
  38. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  39. En pratique 03
  40. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
  41. #LaDuckConf by OCTO Technology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...
  42. CultureOrganisationAutomatisation Conclusion
Publicité