Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

DevSecOps : de la théorie à la pratique

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 28 Publicité
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

Similaire à DevSecOps : de la théorie à la pratique (20)

Publicité

Plus récents (20)

DevSecOps : de la théorie à la pratique

  1. 1. #NSD17 - DevSecOps De la Théorie à la Pratique #NSD17 - DevSecOps : de la Théorie à la Pratique
  2. 2. About me  Passionné par l’innovation et la sécurité numérique  Secrétaire-adjoint du CLUSIR NdF  CISO @wegravit  Fondateur d’Incloudio   @gritche_ #NSD17 - DevSecOps : de la Théorie à la Pratique
  3. 3. #NSD17 - DevSecOps : de la Théorie à la Pratique
  4. 4. #NSD17 - DevSecOps : de la Théorie à la Pratique
  5. 5. Le contexte • wegravit : un beau projet et un challenge • Startup avec une plateforme en version MVP / Refonte pour 2018 • Développement agile = désorganisé • Peu d’industrialisation • Pas de vraie culture sécurité #NSD17 - DevSecOps : de la Théorie à la Pratique
  6. 6. DevOps, d’abord un processus #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Monitor DEV OPS
  7. 7. DevOps, un rythme pour le time-to-market #NSD17 - DevSecOps : de la Théorie à la Pratique CodeDesign DeployTest Design Design Cycle en V (Waterfall) Agile Tempus fugit… DevOps Code Test DeployCode Test Code Test
  8. 8. De l’agile au DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate DevOps Continuous Delivery Continuous Integration Agile
  9. 9. L’usine DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery
  10. 10. La boîte à outils DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Repository git / Bitbucket / GitLab / TFS Cloud & Infra IaaS / PaaS / Docker / DB Exemples non-représentatifs du Gartner et non-exhaustifs Collaboration JIRA / Redmine / Slack / Trello Documentation Wiki / ReadTheDocs / Confluence Build Maven / Grunt / Ant CI / CD Jenkins / Bamboo / Travis Orchestration Ansible / Puppet / SaltStack / Docker / Kubernetes / API Gateway / Load Balancer / Rudder Test JUnit / PHPUnit / Selenium / Jmeter / Sonar / cucumber / LoadRunner Log Management ELK / Graylog2 / Splunk Monitoring Nagios / Incinga / Shinken APM New Relic / Dynatrace / AppDynamics Misc A vous d’ajouter vos outils !
  11. 11. Vision du CNCF pour exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  12. 12. SEC CONFIDENTIALITY INTEGRITY AUDITABILITY Du DevOps au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DEV CODE & BUILD SOFTWARES OPS AVALAIBILITY PERFORMANCE SCALING DevOps IT SecuritySecure development DevSecOps http://web.devopstopologies.com/
  13. 13. DevSecOps, et donc !? #NSD17 - DevSecOps : de la Théorie à la Pratique Sécuriser le DevOps Intégrer la sécurité dans le DevOps
  14. 14. Sécuriser le DevOps • Maîtriser ses assets et éviter le Shadow IT • Segmenter les environnements • Gérer les droits d’accès • Auditer son usine à développement • Sécuriser les postes de travail #NSD17 - DevSecOps : de la Théorie à la Pratique
  15. 15. Le Secure-SDLC appliqué au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Politique de sécurité Analyse de risques Modélisation des menaces Sensibilisation DevSec Code Référentiel de bonnes pratiques Revue de code Build Audit de code Audi de vulnérabilités Test Audit de code Audit d’intrusion Audit de vulnérabilités Release & Deploy Audit d’infrastructure Audit de vulnérabilités Operate Audit de vulnérabilités Pentest / Bug Bounty Protection des applications Monitor Gestion des vulnérabilités Détection d’attaques DEV OPS
  16. 16. L’usine DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery Code review Code audit Bug Bounty Vulnerability audit Pentest / Audit Vulnerability Management SOC Risk analysis Awareness
  17. 17. La boîte à outils DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Exemples non-représentatifs du Gartner et non-exhaustifs SAST Sonar / Checkmarx / Fortify DAST Netsparker / AppSpider / OWASP Zap Vuln. Scan Nessus / Rapid7 / OpenVAS Bug Bounty Yogosha / Bounty Factory SOC IDS/IPS (Snort, Suricata, OSSEC…) / WAF (Mod_Security, NAXSI…) / SIEM / Threat Intel Best practices OWASP / MITRE CWE / SANS Institute
  18. 18. Pourquoi le Sec est important ? • Diminuer la durée de vie des vulnérabilités • Donc de la probabilité d’exploitation • Sécuriser mais aussi protéger ! #NSD17 - DevSecOps : de la Théorie à la Pratique Shift security left
  19. 19. Une roadmap piloté par la maturité #NSD17 - DevSecOps : de la Théorie à la Pratique Level 3 - MANAGED Démarche maîtrisée avec KPI Amélioration itérative de l’usine DevSecOps selon les besoins Level 2 - ADVANCED Organisation et processus fluide Boîte à outils satisfaisante Industrialisation efficace des MeP Level 1 - INIT Organisation en mutation Boîte à outils en cours de fourniture Début d’industrialisation des MeP avec un décloisonnement des environnements Level 0 Dev vs Ops vs Sec Un peu d’agile
  20. 20. Le bilan @wegravit - les points positifs • Bonne accueil car "souffrance" du manque d'industrialisation et aspect "moderne" de la démarche • Intégration de la sécurité directement dans le cycle de développement • Adoption assez rapide : test de Snuffleupagus par exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  21. 21. Le bilan @wegravit - les points à améliorer • Casser les habitudes : sortir les Dev et les Ops de leur zone de confort • DevSecOps ne se résume pas à des outils • Chemin encore long pour arriver à maturité #NSD17 - DevSecOps : de la Théorie à la Pratique
  22. 22. Mes conseils • DevSecOps ne s'applique pas à toutes les organisations et les SI • Impliquer les équipes dans la mise en œuvre • Se faire accompagner • Persévérer #NSD17 - DevSecOps : de la Théorie à la Pratique
  23. 23. Objectif du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Créer un système coopératif pour un objectif unique : Délivrer en continu & Opérer une application sécurisée
  24. 24. Philosophie du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DevSecOps est une culture interne de collaboration structurée sur une organisation et des outils. DEV vs OPS vs SECDEV vs OPS vs SEC
  25. 25. Un dernier mot #NSD17 - DevSecOps : de la Théorie à la Pratique Le DevSecOps est à l’industrie numérique ce que le Lean Management est à l’industrie automobile.
  26. 26. Pour aller plus loin • https://fr.wikipedia.org/wiki/Devops • https://www.devopsdays.org/ • https://blog.octo.com/devops/ • http://blog.xebia.fr/2017/04/21/introduct ion-a-devops/ #NSD17 - DevSecOps : de la Théorie à la Pratique

×