SlideShare une entreprise Scribd logo
1  sur  43
OCTO Part of Accenture Digital © 2019 - All rights reserved
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Continuous Security
Securing a DevOps world!
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Qui sommes nous ?
Didier
BERNAUDEAU
Expert sécurité
Jean-Baptiste
JOLY
OPS
Go faster
01
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
PhotobyAlexHolyoakeonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Industrialisation du cycle de développement
INTÉGRATION
CONTINUE
LIVRAISON
CONTINUE
DÉPLOIEMENT
CONTINU
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
PhotobyKévinLanglaisonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Quelques incidents ces dernières années !
540 millions
d'informations
utilisateurs exposées
sur un bucket S3 en
libre accès
(2019)
Une vulnérabilité dans
un framework expose les
données de plus de 147
millions de personnes
(2017)
Accès aux documents
d’un assuré en
modifiant simplement
l’identifiant du
document dans l'URL
(2019)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Les étapes de sécurité classiques
Exigences de sécurité Audit de sécurité
Un gros document que les
opérationnels doivent
impérativement respecter !
● Exigences généralistes
● Exigences contradictoires avec les
besoins du métier
Un test d’intrusion et un audit de
code source sont commandités
par l’équipe sécurité.
● Réalisés tardivement
● Périmètre incomplet
● Vulnérabilités jamais corrigées
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Discontinuous Security
Sprint 0
Exigences de
sécurité
Audit de
sécurité
Et si nous changions nos pratiques ...
02Continuous Security
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Continuous Security
A chaque étape
Intégrer la sécurité dans toutes
les phases du cycle de
développement
Shift security to the left
Intégrer la sécurité dès la
première phase du cycle
développement
Automatisation
Les ingénieurs sécurité sont peu
nombreux face aux Devs,
il faut automatiser les tâches
A chaque cycle
Réitérer les actions sécurité à
chaque cycle de
développement
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Equipe DevSecOps
Une équipe autonome et multi compétences:
Développeurs, Ops et Security Ambassador
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Plan
Ce que l’on fait en général
● Design Thinking
● User Stories
● Backlog
● Story Map
Cadrage et spécification du
produit d’un point de vue
fonctionnel et technique
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Plan
Intégrer les exigences de
sécurité dans le Backlog
du produit
● User Security story (OWASP)
● Security Acceptance Criteria
● Backlog de risque avec les Evil
User Stories
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Code
Ce que l’on fait en général
Assurer le respect des
conventions de code de
l’équipe.
Linter
● Pylint / Pycodestyle
● ESLint / Prettier
● Checkstyle
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Code
… ce que l’on fait pour la sécurité
Analyser le code source
des applications pour
déceler les vulnérabilités
applicatives (XSS, SQLi, …)
SAST
(Static Application Security Testing)
● Coverity (Synopsys)
● Checkmarx
● Semmle LGTM / CodeQL
● Node : ESLint security
● Python : bandit
● Java : find security bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Code
Il y a différents méthodes d’analyses
๏ Semantic code search
๏ Range Analysis (or bounds analysis)
๏ Control Flow Analysis (CFA)
๏ Data Flow Analysis (DFA)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Build
Ce que l’on fait en général
Compilation du code
source pour créer un
artefact
Builder
● Gradle
● Maven
● …
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Build
Détecter l’utilisation de
composants (package
ou framework) ayant des
vulnérabilités connues.
SCA
(Software Composition Analysis)
● npm audit ou yarn audit
● Dependency Check
● Dependabot
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
CodeBuild
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Test
Les tests doivent à
minima vérifier les critères
d’acceptation des US.
Test unitaire &
Test d’intégration
● Mocha / Chai / supertest
● Sinon
● Unittest / Pytest
● JUnit
Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Test
Utiliser les frameworks et outils
de test pour implémenter des
tests de sécurité
Outils et frameworks de test
+
Framework de test spécifique
à la sécurité
(exemple: spring security test)
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
CodeBuild
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Release
Regrouper tous les
éléments de l’application
dans un package
● Package
○ JAR, WAR, ...
○ Image Docker
● Repository
○ Artifactory
○ Nexus
○ Docker Registry
Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Release
Détecter l’utilisation de
composants (package,
framework ou logiciel) ayant
des vulnérabilités connues.
Software Composition Analysis (SCA)
et/ou
Container Security Analysis
(Clair, Trivy, Anchore,
Microscanner….)
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Deploy
Provisionner et tester
l'infrastructure supportant le
produit
● Tests d’infrastructure
● Tests fonctionnels
● Tests de non régression
● Tests de performance
Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Deploy
Exécuter des tests de sécurité
afin d’identifier des
vulnérabilités soit au niveau
de l’infrastructure soit de
l’application.
DAST
(Dynamic Application Security
Testing)
● OWASP ZAP
● Rapid7
● Qualys
● ...
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Operate & Monitor
Collecter un maximum
d’informations afin de réaliser
les tableaux de bord et
remonter les alertes en cas
d’incident
Les incontournables
● Prometheus / Grafana
● ElasticSearch / Kibana
● Nagios et Centreon
Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Operate & Monitor
Auditer en continu afin de
garantir la conformité du
système.
Continuous Auditing
● AWS Guard Duty
● Azure Policy & Security Center
● Cloud Custodian
● ...
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Operate & Monitor
Détecter ou bloquer, en temps
réel, toute tentative d’attaque.
RASP
(Runtime Application Self-Protection)
● Sqreen
● Seeker (Synopsys)
● OpenRASP (Baidu)
● Contrast Security
● ...
… ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
IAST
Interactive Application Security Testing
DAST
(Dynamic Application
Security Testing)
RASP
(Runtime Application
Self-Protection)
IAST
(Interactive Application
Security Testing)
+ =
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Cycle DevSecOps
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
En pratique
03
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
Un pipeline Open Source
Code
Build
Test
Deploy
Operate
Monitor
DEV OPS
Release
Plan
Cloud
Custodian
find security
bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved
๏ Sélectionner un type d’outil
๏ L’outil idéal n’existe pas
๏ Accompagner le déploiement de l’outil dans les équipes
Pour bien commencer ...
CultureOrganisationAutomatisation
Conclusion
La Duck Conf - Continuous Security : Secure a DevOps World!

Contenu connexe

Tendances

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantismeMatinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantismeOCTO Technology
 
Présentation travail du stage
Présentation travail du stagePrésentation travail du stage
Présentation travail du stageTaoufiq Bahalla
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf -  "Mise en prod de la data science : le jour d'après" La Duck Conf -  "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après" OCTO Technology
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !OCTO Technology
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? OCTO Technology
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudOCTO Technology
 
La Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tousLa Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tousOCTO Technology
 
La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"OCTO Technology
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"OCTO Technology
 
Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science OCTO Technology
 
Sensibilisation à l'Agile
Sensibilisation à l'Agile Sensibilisation à l'Agile
Sensibilisation à l'Agile OCTO Technology
 
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...OCTO Technology
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" OCTO Technology
 
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"OCTO Technology
 
La Duck Conf - Une équipe plateforme qui délivre
La Duck Conf - Une équipe plateforme qui délivreLa Duck Conf - Une équipe plateforme qui délivre
La Duck Conf - Une équipe plateforme qui délivreOCTO Technology
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileLe Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileOCTO Technology
 
Le Comptoir OCTO - Le Cloud souverain
Le Comptoir OCTO - Le Cloud souverainLe Comptoir OCTO - Le Cloud souverain
Le Comptoir OCTO - Le Cloud souverainOCTO Technology
 
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...OCTO Technology
 
Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020OCTO Technology
 
Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence OCTO Technology
 

Tendances (20)

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantismeMatinale DevSecOps League : Sortez la sécurité de l'obscurantisme
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
 
Présentation travail du stage
Présentation travail du stagePrésentation travail du stage
Présentation travail du stage
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf -  "Mise en prod de la data science : le jour d'après" La Duck Conf -  "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après"
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ?
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du Cloud
 
La Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tousLa Duck Conf - CovidTracker, la data au service de tous
La Duck Conf - CovidTracker, la data au service de tous
 
La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
 
Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science
 
Sensibilisation à l'Agile
Sensibilisation à l'Agile Sensibilisation à l'Agile
Sensibilisation à l'Agile
 
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
 
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
 
La Duck Conf - Une équipe plateforme qui délivre
La Duck Conf - Une équipe plateforme qui délivreLa Duck Conf - Une équipe plateforme qui délivre
La Duck Conf - Une équipe plateforme qui délivre
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileLe Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
 
Le Comptoir OCTO - Le Cloud souverain
Le Comptoir OCTO - Le Cloud souverainLe Comptoir OCTO - Le Cloud souverain
Le Comptoir OCTO - Le Cloud souverain
 
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
 
Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020
 
Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence
 

Similaire à La Duck Conf - Continuous Security : Secure a DevOps World!

Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiquesJoseph Glorieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...OCTO Technology
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionOCTO Technology
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureGuillaume Laforge
 
20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez EngieLeClubQualiteLogicielle
 
L'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérativeL'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérativeFrançois Xavier Vende
 
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...Publicis Sapient Engineering
 
Déploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsDéploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsNicolas Herbaut
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudMichel-Marie Maudet
 
DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiquebertrandmeens
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco Canada
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTFactoVia
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel -  Entreprise Software Analytic - nov 2015qualimétrie logiciel -  Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
 
Gestion des drifts Terraform avec la méthode GitOps
Gestion des drifts Terraform avec la méthode GitOpsGestion des drifts Terraform avec la méthode GitOps
Gestion des drifts Terraform avec la méthode GitOpsKatia HIMEUR TALHI
 
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...Jerome Blanc
 
OpenStack - open source au service du Cloud
OpenStack - open source au service du CloudOpenStack - open source au service du Cloud
OpenStack - open source au service du CloudLINAGORA
 
Paris Container Day 2016 : Architecture microservices hautement disponible au...
Paris Container Day 2016 : Architecture microservices hautement disponible au...Paris Container Day 2016 : Architecture microservices hautement disponible au...
Paris Container Day 2016 : Architecture microservices hautement disponible au...Publicis Sapient Engineering
 

Similaire à La Duck Conf - Continuous Security : Secure a DevOps World! (20)

Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiques
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans rupture
 
20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie
 
L'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérativeL'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérative
 
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
XebiCon'16 : Orange et Xebia Labs - De l'Agilité vers le Déploiement Continu ...
 
Déploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsDéploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIs
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du Cloud
 
DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratique
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel -  Entreprise Software Analytic - nov 2015qualimétrie logiciel -  Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
 
Gestion des drifts Terraform avec la méthode GitOps
Gestion des drifts Terraform avec la méthode GitOpsGestion des drifts Terraform avec la méthode GitOps
Gestion des drifts Terraform avec la méthode GitOps
 
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
[webinaire] Live academy #1 - Développer les compétences au cœur de la cultur...
 
OpenStack - open source au service du Cloud
OpenStack - open source au service du CloudOpenStack - open source au service du Cloud
OpenStack - open source au service du Cloud
 
Ionic
IonicIonic
Ionic
 
Paris Container Day 2016 : Architecture microservices hautement disponible au...
Paris Container Day 2016 : Architecture microservices hautement disponible au...Paris Container Day 2016 : Architecture microservices hautement disponible au...
Paris Container Day 2016 : Architecture microservices hautement disponible au...
 

Plus de OCTO Technology

Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéOCTO Technology
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudOCTO Technology
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...OCTO Technology
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...OCTO Technology
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...OCTO Technology
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Technology
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Technology
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...OCTO Technology
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Technology
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanOCTO Technology
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? OCTO Technology
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...OCTO Technology
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...OCTO Technology
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionOCTO Technology
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...OCTO Technology
 
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone :  les solutions E...Le Comptoir OCTO - L'avenir de la gestion du bilan carbone :  les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...OCTO Technology
 
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...OCTO Technology
 
RefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsOCTO Technology
 
RefCard RESTful API Design
RefCard RESTful API DesignRefCard RESTful API Design
RefCard RESTful API DesignOCTO Technology
 

Plus de OCTO Technology (20)

Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
 
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone :  les solutions E...Le Comptoir OCTO - L'avenir de la gestion du bilan carbone :  les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
 
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
 
RefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les fronts
 
RefCard RESTful API Design
RefCard RESTful API DesignRefCard RESTful API Design
RefCard RESTful API Design
 

La Duck Conf - Continuous Security : Secure a DevOps World!

  • 1. OCTO Part of Accenture Digital © 2019 - All rights reserved
  • 2. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
  • 3. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
  • 5. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
  • 6. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
  • 7. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
  • 8. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
  • 9. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
  • 10. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
  • 12. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
  • 13. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
  • 14. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 15. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
  • 16. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
  • 17. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 18. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
  • 19. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
  • 20. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
  • 21. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 22. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
  • 23. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
  • 24. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 25. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
  • 26. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
  • 27. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 28. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
  • 29. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
  • 30. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 31. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
  • 32. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
  • 33. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 34. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
  • 35. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
  • 36. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
  • 37. #LaDuckConf by OCTO Technology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
  • 38. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 40. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
  • 41. #LaDuckConf by OCTO Technology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...