SlideShare une entreprise Scribd logo

DevSecOps : de la théorie à la pratique

B
bertrandmeens

Présentation de la démarche DevSecOps chez wegravit lors des NetSecure Day 2017

Technologie
1  sur  28
#NSD17 - DevSecOps De la Théorie à la Pratique #NSD17 - DevSecOps : de la Théorie à la Pratique
About me  Passionné par l’innovation et la sécurité numérique  Secrétaire-adjoint du CLUSIR NdF  CISO @wegravit  Fondateur d’Incloudio   @gritche_ #NSD17 - DevSecOps : de la Théorie à la Pratique
#NSD17 - DevSecOps : de la Théorie à la Pratique
#NSD17 - DevSecOps : de la Théorie à la Pratique
Le contexte • wegravit : un beau projet et un challenge • Startup avec une plateforme en version MVP / Refonte pour 2018 • Développement agile = désorganisé • Peu d’industrialisation • Pas de vraie culture sécurité #NSD17 - DevSecOps : de la Théorie à la Pratique
DevOps, d’abord un processus #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Monitor DEV OPS
DevOps, un rythme pour le time-to-market #NSD17 - DevSecOps : de la Théorie à la Pratique CodeDesign DeployTest Design Design Cycle en V (Waterfall) Agile Tempus fugit… DevOps Code Test DeployCode Test Code Test
De l’agile au DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate DevOps Continuous Delivery Continuous Integration Agile
L’usine DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery
La boîte à outils DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Repository git / Bitbucket / GitLab / TFS Cloud & Infra IaaS / PaaS / Docker / DB Exemples non-représentatifs du Gartner et non-exhaustifs Collaboration JIRA / Redmine / Slack / Trello Documentation Wiki / ReadTheDocs / Confluence Build Maven / Grunt / Ant CI / CD Jenkins / Bamboo / Travis Orchestration Ansible / Puppet / SaltStack / Docker / Kubernetes / API Gateway / Load Balancer / Rudder Test JUnit / PHPUnit / Selenium / Jmeter / Sonar / cucumber / LoadRunner Log Management ELK / Graylog2 / Splunk Monitoring Nagios / Incinga / Shinken APM New Relic / Dynatrace / AppDynamics Misc A vous d’ajouter vos outils !
Vision du CNCF pour exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
SEC CONFIDENTIALITY INTEGRITY AUDITABILITY Du DevOps au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DEV CODE & BUILD SOFTWARES OPS AVALAIBILITY PERFORMANCE SCALING DevOps IT SecuritySecure development DevSecOps http://web.devopstopologies.com/
DevSecOps, et donc !? #NSD17 - DevSecOps : de la Théorie à la Pratique Sécuriser le DevOps Intégrer la sécurité dans le DevOps
Sécuriser le DevOps • Maîtriser ses assets et éviter le Shadow IT • Segmenter les environnements • Gérer les droits d’accès • Auditer son usine à développement • Sécuriser les postes de travail #NSD17 - DevSecOps : de la Théorie à la Pratique
Le Secure-SDLC appliqué au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Politique de sécurité Analyse de risques Modélisation des menaces Sensibilisation DevSec Code Référentiel de bonnes pratiques Revue de code Build Audit de code Audi de vulnérabilités Test Audit de code Audit d’intrusion Audit de vulnérabilités Release & Deploy Audit d’infrastructure Audit de vulnérabilités Operate Audit de vulnérabilités Pentest / Bug Bounty Protection des applications Monitor Gestion des vulnérabilités Détection d’attaques DEV OPS
L’usine DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery Code review Code audit Bug Bounty Vulnerability audit Pentest / Audit Vulnerability Management SOC Risk analysis Awareness
La boîte à outils DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Exemples non-représentatifs du Gartner et non-exhaustifs SAST Sonar / Checkmarx / Fortify DAST Netsparker / AppSpider / OWASP Zap Vuln. Scan Nessus / Rapid7 / OpenVAS Bug Bounty Yogosha / Bounty Factory SOC IDS/IPS (Snort, Suricata, OSSEC…) / WAF (Mod_Security, NAXSI…) / SIEM / Threat Intel Best practices OWASP / MITRE CWE / SANS Institute
Pourquoi le Sec est important ? • Diminuer la durée de vie des vulnérabilités • Donc de la probabilité d’exploitation • Sécuriser mais aussi protéger ! #NSD17 - DevSecOps : de la Théorie à la Pratique Shift security left
Une roadmap piloté par la maturité #NSD17 - DevSecOps : de la Théorie à la Pratique Level 3 - MANAGED Démarche maîtrisée avec KPI Amélioration itérative de l’usine DevSecOps selon les besoins Level 2 - ADVANCED Organisation et processus fluide Boîte à outils satisfaisante Industrialisation efficace des MeP Level 1 - INIT Organisation en mutation Boîte à outils en cours de fourniture Début d’industrialisation des MeP avec un décloisonnement des environnements Level 0 Dev vs Ops vs Sec Un peu d’agile
Le bilan @wegravit - les points positifs • Bonne accueil car "souffrance" du manque d'industrialisation et aspect "moderne" de la démarche • Intégration de la sécurité directement dans le cycle de développement • Adoption assez rapide : test de Snuffleupagus par exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
Le bilan @wegravit - les points à améliorer • Casser les habitudes : sortir les Dev et les Ops de leur zone de confort • DevSecOps ne se résume pas à des outils • Chemin encore long pour arriver à maturité #NSD17 - DevSecOps : de la Théorie à la Pratique
Mes conseils • DevSecOps ne s'applique pas à toutes les organisations et les SI • Impliquer les équipes dans la mise en œuvre • Se faire accompagner • Persévérer #NSD17 - DevSecOps : de la Théorie à la Pratique
Objectif du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Créer un système coopératif pour un objectif unique : Délivrer en continu & Opérer une application sécurisée
Philosophie du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DevSecOps est une culture interne de collaboration structurée sur une organisation et des outils. DEV vs OPS vs SECDEV vs OPS vs SEC
Un dernier mot #NSD17 - DevSecOps : de la Théorie à la Pratique Le DevSecOps est à l’industrie numérique ce que le Lean Management est à l’industrie automobile.
Pour aller plus loin • https://fr.wikipedia.org/wiki/Devops • https://www.devopsdays.org/ • https://blog.octo.com/devops/ • http://blog.xebia.fr/2017/04/21/introduct ion-a-devops/ #NSD17 - DevSecOps : de la Théorie à la Pratique
DevSecOps : de la théorie à la pratique

Recommandé

Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesStéphane Di Cioccio
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
DEVOPS
DEVOPSDEVOPS
DEVOPSTayssirLimem
 
Intégration continue et déploiement continue avec Jenkins
Intégration continue et déploiement continue avec JenkinsIntégration continue et déploiement continue avec Jenkins
Intégration continue et déploiement continue avec JenkinsKokou Gaglo
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Qualité logiciel - Generalités
Qualité logiciel - GeneralitésQualité logiciel - Generalités
Qualité logiciel - GeneralitésChristophe Rochefolle
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche DevopsRomain Chalumeau
 
Presentation-DEVOPS-par-GDG
Presentation-DEVOPS-par-GDGPresentation-DEVOPS-par-GDG
Presentation-DEVOPS-par-GDGTinarivosoaAbaniaina
 

Recommandé

Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesStéphane Di Cioccio
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
DEVOPS
DEVOPSDEVOPS
DEVOPSTayssirLimem
 
Intégration continue et déploiement continue avec Jenkins
Intégration continue et déploiement continue avec JenkinsIntégration continue et déploiement continue avec Jenkins
Intégration continue et déploiement continue avec JenkinsKokou Gaglo
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Qualité logiciel - Generalités
Qualité logiciel - GeneralitésQualité logiciel - Generalités
Qualité logiciel - GeneralitésChristophe Rochefolle
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche DevopsRomain Chalumeau
 
Presentation-DEVOPS-par-GDG
Presentation-DEVOPS-par-GDGPresentation-DEVOPS-par-GDG
Presentation-DEVOPS-par-GDGTinarivosoaAbaniaina
 
Expression des besoins pour le SI
Expression des besoins pour le SIExpression des besoins pour le SI
Expression des besoins pour le SINouhaila ALAMI
 
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...Jasmine Conseil
 
Présentation DEVOPS.pptx
Présentation DEVOPS.pptxPrésentation DEVOPS.pptx
Présentation DEVOPS.pptxboulonvert
 
Gitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement ContinueGitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement ContinueVincent Composieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsPublicis Sapient Engineering
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentauxCOMPETENSIS
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
Test unitaires
Test unitairesTest unitaires
Test unitairesMohamed Akrouh
 
Cours java
Cours javaCours java
Cours javaZakaria Mouammin
 
DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2Sonatype
 
DevOps : mission [im]possible ?
DevOps : mission [im]possible ?DevOps : mission [im]possible ?
DevOps : mission [im]possible ?rfelden
 
Exigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsExigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsPierre
 
Cours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfCours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfboulonvert
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
DevOps 3 - Docker.pdf
DevOps 3 - Docker.pdfDevOps 3 - Docker.pdf
DevOps 3 - Docker.pdfGhofraneFerchichi2
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Principes de L'intégration Continue
Principes de L'intégration ContinuePrincipes de L'intégration Continue
Principes de L'intégration ContinueXavier Warzee
 
devops.pdf
devops.pdfdevops.pdf
devops.pdfqsdqsd4
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaBenoît SAUTIERE
 

Contenu connexe

Tendances

Expression des besoins pour le SI
Expression des besoins pour le SIExpression des besoins pour le SI
Expression des besoins pour le SINouhaila ALAMI
 
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...Jasmine Conseil
 
Présentation DEVOPS.pptx
Présentation DEVOPS.pptxPrésentation DEVOPS.pptx
Présentation DEVOPS.pptxboulonvert
 
Gitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement ContinueGitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement ContinueVincent Composieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsPublicis Sapient Engineering
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentauxCOMPETENSIS
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2Sonatype
 
DevOps : mission [im]possible ?
DevOps : mission [im]possible ?DevOps : mission [im]possible ?
DevOps : mission [im]possible ?rfelden
 
Exigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsExigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsPierre
 
Cours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfCours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfboulonvert
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Principes de L'intégration Continue
Principes de L'intégration ContinuePrincipes de L'intégration Continue
Principes de L'intégration ContinueXavier Warzee
 

Tendances (20)

Expression des besoins pour le SI
Expression des besoins pour le SIExpression des besoins pour le SI
Expression des besoins pour le SI
 
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
Livraison en continue avec l'outillage devops - Jenkins, Ansible, Docker et ...
 
Présentation DEVOPS.pptx
Présentation DEVOPS.pptxPrésentation DEVOPS.pptx
Présentation DEVOPS.pptx
 
Gitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement ContinueGitlab CI : Integration et Déploiement Continue
Gitlab CI : Integration et Déploiement Continue
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et Administration
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOps
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentaux
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
 
Test unitaires
Test unitairesTest unitaires
Test unitaires
 
Cours java
Cours javaCours java
Cours java
 
DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2DevOps and Continuous Delivery Reference Architectures - Volume 2
DevOps and Continuous Delivery Reference Architectures - Volume 2
 
DevOps : mission [im]possible ?
DevOps : mission [im]possible ?DevOps : mission [im]possible ?
DevOps : mission [im]possible ?
 
Exigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsExigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logiciels
 
Cours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfCours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdf
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
 
DevOps 3 - Docker.pdf
DevOps 3 - Docker.pdfDevOps 3 - Docker.pdf
DevOps 3 - Docker.pdf
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
Principes de L'intégration Continue
Principes de L'intégration ContinuePrincipes de L'intégration Continue
Principes de L'intégration Continue
 

Similaire à DevSecOps : de la théorie à la pratique

devops.pdf
devops.pdfdevops.pdf
devops.pdfqsdqsd4
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaBenoît SAUTIERE
 
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Samir Arezki ☁
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...CEDRIC DERUE
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...matteo mazzeri
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXSamuel Metias
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020NimeOps
 
DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleSamuel Metias
 
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisKeynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisJason De Oliveira
 
8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur AzureaOS Community
 
20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOpsLeClubQualiteLogicielle
 
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)François
 
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...Adrien Clerbois
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Publicis Sapient Engineering
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans AzureManon PERNIN
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Ludovic Piot
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMGrégory Ott
 

Similaire à DevSecOps : de la théorie à la pratique (20)

devops.pdf
devops.pdfdevops.pdf
devops.pdf
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio Cellenza
 
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
 
Mohamed.marouan
Mohamed.marouanMohamed.marouan
Mohamed.marouan
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020
 
DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitale
 
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisKeynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
 
8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure
 
20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps
 
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
 
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans Azure
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALM
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALM
 

Plus de bertrandmeens

Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?bertrandmeens
 
DevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitéDevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitébertrandmeens
 
Le Bug Bounty en 2017
Le Bug Bounty en 2017Le Bug Bounty en 2017
Le Bug Bounty en 2017bertrandmeens
 

Plus de bertrandmeens (6)

cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?
 
DevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitéDevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilité
 
La privacy en 2018
La privacy en 2018La privacy en 2018
La privacy en 2018
 
Le Bug Bounty en 2017
Le Bug Bounty en 2017Le Bug Bounty en 2017
Le Bug Bounty en 2017
 

DevSecOps : de la théorie à la pratique

  • 1.
  • 2. #NSD17 - DevSecOps De la Théorie à la Pratique #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 3. About me  Passionné par l’innovation et la sécurité numérique  Secrétaire-adjoint du CLUSIR NdF  CISO @wegravit  Fondateur d’Incloudio   @gritche_ #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 4. #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 5. #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 6. Le contexte • wegravit : un beau projet et un challenge • Startup avec une plateforme en version MVP / Refonte pour 2018 • Développement agile = désorganisé • Peu d’industrialisation • Pas de vraie culture sécurité #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 7. DevOps, d’abord un processus #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Monitor DEV OPS
  • 8. DevOps, un rythme pour le time-to-market #NSD17 - DevSecOps : de la Théorie à la Pratique CodeDesign DeployTest Design Design Cycle en V (Waterfall) Agile Tempus fugit… DevOps Code Test DeployCode Test Code Test
  • 9. De l’agile au DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate DevOps Continuous Delivery Continuous Integration Agile
  • 10. L’usine DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery
  • 11. La boîte à outils DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Repository git / Bitbucket / GitLab / TFS Cloud & Infra IaaS / PaaS / Docker / DB Exemples non-représentatifs du Gartner et non-exhaustifs Collaboration JIRA / Redmine / Slack / Trello Documentation Wiki / ReadTheDocs / Confluence Build Maven / Grunt / Ant CI / CD Jenkins / Bamboo / Travis Orchestration Ansible / Puppet / SaltStack / Docker / Kubernetes / API Gateway / Load Balancer / Rudder Test JUnit / PHPUnit / Selenium / Jmeter / Sonar / cucumber / LoadRunner Log Management ELK / Graylog2 / Splunk Monitoring Nagios / Incinga / Shinken APM New Relic / Dynatrace / AppDynamics Misc A vous d’ajouter vos outils !
  • 12. Vision du CNCF pour exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 13. SEC CONFIDENTIALITY INTEGRITY AUDITABILITY Du DevOps au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DEV CODE & BUILD SOFTWARES OPS AVALAIBILITY PERFORMANCE SCALING DevOps IT SecuritySecure development DevSecOps http://web.devopstopologies.com/
  • 14. DevSecOps, et donc !? #NSD17 - DevSecOps : de la Théorie à la Pratique Sécuriser le DevOps Intégrer la sécurité dans le DevOps
  • 15. Sécuriser le DevOps • Maîtriser ses assets et éviter le Shadow IT • Segmenter les environnements • Gérer les droits d’accès • Auditer son usine à développement • Sécuriser les postes de travail #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 16. Le Secure-SDLC appliqué au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Politique de sécurité Analyse de risques Modélisation des menaces Sensibilisation DevSec Code Référentiel de bonnes pratiques Revue de code Build Audit de code Audi de vulnérabilités Test Audit de code Audit d’intrusion Audit de vulnérabilités Release & Deploy Audit d’infrastructure Audit de vulnérabilités Operate Audit de vulnérabilités Pentest / Bug Bounty Protection des applications Monitor Gestion des vulnérabilités Détection d’attaques DEV OPS
  • 17. L’usine DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery Code review Code audit Bug Bounty Vulnerability audit Pentest / Audit Vulnerability Management SOC Risk analysis Awareness
  • 18. La boîte à outils DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Exemples non-représentatifs du Gartner et non-exhaustifs SAST Sonar / Checkmarx / Fortify DAST Netsparker / AppSpider / OWASP Zap Vuln. Scan Nessus / Rapid7 / OpenVAS Bug Bounty Yogosha / Bounty Factory SOC IDS/IPS (Snort, Suricata, OSSEC…) / WAF (Mod_Security, NAXSI…) / SIEM / Threat Intel Best practices OWASP / MITRE CWE / SANS Institute
  • 19. Pourquoi le Sec est important ? • Diminuer la durée de vie des vulnérabilités • Donc de la probabilité d’exploitation • Sécuriser mais aussi protéger ! #NSD17 - DevSecOps : de la Théorie à la Pratique Shift security left
  • 20. Une roadmap piloté par la maturité #NSD17 - DevSecOps : de la Théorie à la Pratique Level 3 - MANAGED Démarche maîtrisée avec KPI Amélioration itérative de l’usine DevSecOps selon les besoins Level 2 - ADVANCED Organisation et processus fluide Boîte à outils satisfaisante Industrialisation efficace des MeP Level 1 - INIT Organisation en mutation Boîte à outils en cours de fourniture Début d’industrialisation des MeP avec un décloisonnement des environnements Level 0 Dev vs Ops vs Sec Un peu d’agile
  • 21. Le bilan @wegravit - les points positifs • Bonne accueil car "souffrance" du manque d'industrialisation et aspect "moderne" de la démarche • Intégration de la sécurité directement dans le cycle de développement • Adoption assez rapide : test de Snuffleupagus par exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 22. Le bilan @wegravit - les points à améliorer • Casser les habitudes : sortir les Dev et les Ops de leur zone de confort • DevSecOps ne se résume pas à des outils • Chemin encore long pour arriver à maturité #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 23. Mes conseils • DevSecOps ne s'applique pas à toutes les organisations et les SI • Impliquer les équipes dans la mise en œuvre • Se faire accompagner • Persévérer #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 24. Objectif du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Créer un système coopératif pour un objectif unique : Délivrer en continu & Opérer une application sécurisée
  • 25. Philosophie du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DevSecOps est une culture interne de collaboration structurée sur une organisation et des outils. DEV vs OPS vs SECDEV vs OPS vs SEC
  • 26. Un dernier mot #NSD17 - DevSecOps : de la Théorie à la Pratique Le DevSecOps est à l’industrie numérique ce que le Lean Management est à l’industrie automobile.
  • 27. Pour aller plus loin • https://fr.wikipedia.org/wiki/Devops • https://www.devopsdays.org/ • https://blog.octo.com/devops/ • http://blog.xebia.fr/2017/04/21/introduct ion-a-devops/ #NSD17 - DevSecOps : de la Théorie à la Pratique