OT
Téléchargé parOCTO Technology
610 vues

La Duck Conf - Continuous Security : Secure a DevOps World!

Le document présente l'importance de la sécurité continue dans les environnements DevOps, en soulignant la nécessité d'intégrer la sécurité à chaque étape du cycle de développement. Il décrit également les pratiques actuelles, les outils et les stratégies pour automatiser la sécurité afin de minimiser les vulnérabilités. Enfin, il insiste sur la formation et l'intégration d'équipes aux compétences multiples pour renforcer la sécurité des systèmes.

Intégrer la présentation

OCTO Part of Accenture Digital © 2019 - All rights reserved
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
Go faster 01
#LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
#LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
02Continuous Security
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
En pratique 03
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...
CultureOrganisationAutomatisation Conclusion
La Duck Conf - Continuous Security : Secure a DevOps World!

Contenu connexe

PPTX
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
parOCTO Technology
 
PDF
La Duck Conf - "Kube is the new mainframe"
parOCTO Technology
 
PDF
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
parOCTO Technology
 
PDF
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
parOCTO Technology
 
PDF
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...
parOCTO Technology
 
PPTX
La Duck Conf : "Observabilité"
parOCTO Technology
 
PDF
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
parOCTO Technology
 
PDF
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
parOCTO Technology
 
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
parOCTO Technology
 
La Duck Conf - "Kube is the new mainframe"
parOCTO Technology
 
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
parOCTO Technology
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
parOCTO Technology
 
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...
parOCTO Technology
 
La Duck Conf : "Observabilité"
parOCTO Technology
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
parOCTO Technology
 
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
parOCTO Technology
 

Tendances

PPTX
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
parOCTO Technology
 
PPTX
Présentation travail du stage
parTaoufiq Bahalla
 
PPTX
La Duck Conf - "Mise en prod de la data science : le jour d'après"
parOCTO Technology
 
PDF
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
parOCTO Technology
 
PDF
La Duck Conf - DevOps et Dataviz, un amour impossible ?
parOCTO Technology
 
PDF
Le Comptoir OCTO - Les nouvelles topologies du Cloud
parOCTO Technology
 
PDF
La Duck Conf - CovidTracker, la data au service de tous
parOCTO Technology
 
PDF
La Duck Conf : "Microservices et transactions distribuées"
parOCTO Technology
 
PDF
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
parOCTO Technology
 
PDF
Le Comptoir OCTO - Data Science
parOCTO Technology
 
PDF
Sensibilisation à l'Agile
parOCTO Technology
 
PPTX
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
parOCTO Technology
 
PDF
La Duck Conf - "L'API Management : au-délà des promesses"
parOCTO Technology
 
PDF
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
parOCTO Technology
 
PDF
La Duck Conf - Une équipe plateforme qui délivre
parOCTO Technology
 
PDF
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
parOCTO Technology
 
PDF
Le Comptoir OCTO - Le Cloud souverain
parOCTO Technology
 
PDF
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
parOCTO Technology
 
PPTX
Le Comptoir : Les Chatbot stores en 2020
parOCTO Technology
 
PDF
Accelerate : la vitesse conditionne l'excellence
parOCTO Technology
 
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
parOCTO Technology
 
Présentation travail du stage
parTaoufiq Bahalla
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
parOCTO Technology
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
parOCTO Technology
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
parOCTO Technology
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
parOCTO Technology
 
La Duck Conf - CovidTracker, la data au service de tous
parOCTO Technology
 
La Duck Conf : "Microservices et transactions distribuées"
parOCTO Technology
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
parOCTO Technology
 
Le Comptoir OCTO - Data Science
parOCTO Technology
 
Sensibilisation à l'Agile
parOCTO Technology
 
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
parOCTO Technology
 
La Duck Conf - "L'API Management : au-délà des promesses"
parOCTO Technology
 
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
parOCTO Technology
 
La Duck Conf - Une équipe plateforme qui délivre
parOCTO Technology
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
parOCTO Technology
 
Le Comptoir OCTO - Le Cloud souverain
parOCTO Technology
 
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
parOCTO Technology
 
Le Comptoir : Les Chatbot stores en 2020
parOCTO Technology
 
Accelerate : la vitesse conditionne l'excellence
parOCTO Technology
 

Similaire à La Duck Conf - Continuous Security : Secure a DevOps World!

PDF
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
parOCTO Technology
 
PDF
Les tests de securite devops
parChristophe Villeneuve
 
PDF
DevSecOps : de la théorie à la pratique
parbertrandmeens
 
PDF
Devops - vision et pratiques
parJoseph Glorieux
 
PDF
Afterwork Devops : vision et pratiques
parOCTO Technology Suisse
 
PDF
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
parPhilippe Beraud
 
PDF
Les tests de sécurité
parChristophe Villeneuve
 
PPTX
Définition d'un parcours de cybersécurité.pptx
paraubintayo
 
PPTX
définition d'un parcours de cybersécurité.pptx
paraubintayo
 
PDF
L'histoire d'une infrastructure itérative
parFrançois Xavier Vende
 
PDF
Infra as Code, choisissez vous la pilule rouge ou la pilule bleue - Devoxx 2016
parFabien Arcellier
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
parOCTO Technology
 
Les tests de securite devops
parChristophe Villeneuve
 
DevSecOps : de la théorie à la pratique
parbertrandmeens
 
Devops - vision et pratiques
parJoseph Glorieux
 
Afterwork Devops : vision et pratiques
parOCTO Technology Suisse
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
parPhilippe Beraud
 
Les tests de sécurité
parChristophe Villeneuve
 
Définition d'un parcours de cybersécurité.pptx
paraubintayo
 
définition d'un parcours de cybersécurité.pptx
paraubintayo
 
L'histoire d'une infrastructure itérative
parFrançois Xavier Vende
 
Infra as Code, choisissez vous la pilule rouge ou la pilule bleue - Devoxx 2016
parFabien Arcellier
 

Plus de OCTO Technology

PDF
Comptoir OCTO - L’architecture as code : comprenez votre SI sans sursollicite...
parOCTO Technology
 
PDF
Comptoir OCTO - Mettre en production des agents IA : établir les bases de la ...
parOCTO Technology
 
PDF
Comptoir OCTO - Connaissez-vous vraiment les OKR ? Challengez vos connaissanc...
parOCTO Technology
 
PDF
Comptoir OCTO - Souveraineté numérique : Comprendre et pivoter pour assurer l...
parOCTO Technology
 
PDF
Comptoir OCTO - Agents IA : Tout ce qu'il faut savoir.
parOCTO Technology
 
PDF
Comment l’IA générative peut-elle moderniser efficacement vos SI Brownfield ?
parOCTO Technology
 
PPTX
La Grosse Conf - IA générative et mésinformation comprendre les mécanisme...
parOCTO Technology
 
PPTX
La Grosse Conf - Data et Humanité, un bilan mitigé - Frédéric Duvivier
parOCTO Technology
 
PPTX
La Grosse Conf - LLMOps, on s'y met tout de suite ? - Ali El Moussawi
parOCTO Technology
 
PPTX
La Grosse Conf - Déployer des modèles d'IA à l'edge : live coding et bonne...
parOCTO Technology
 
PDF
Le Comptoir OCTO - Transformer son organisation sans peur et sans douleur
parOCTO Technology
 
PDF
Duck Conf 2025 - Déjouer les pièges de Conway dans l'agilité à l'échelle
parOCTO Technology
 
PDF
Duck Conf 2025 - L’architecture continue par la pratique
parOCTO Technology
 
PDF
Duck Conf 2025 - Des millisecondes contre des millions d'euros
parOCTO Technology
 
PPTX
Duck Conf 2025 - Du chaos au flow : faut-il miser sur la DevEx ?
parOCTO Technology
 
PDF
Duck Conf 2025 - Les pièges des plateformes : apprenez à les reconnaitre et à...
parOCTO Technology
 
PDF
Duck Conf 2025 - Le micro-frontend décomplexé : les dessous d’une migration i...
parOCTO Technology
 
PDF
Duck Conf 2025 - Tests Pragmatiques : Comment j'ai (presque) arrêté de faire...
parOCTO Technology
 
PDF
Duck Conf 2025 - "Modern Software Engineering & Architecture" : Les Tech Tren...
parOCTO Technology
 
PPTX
La Grosse Conf 2025 - Baptiste Courbe - Model Platform : industrialiser et go...
parOCTO Technology
 
Comptoir OCTO - L’architecture as code : comprenez votre SI sans sursollicite...
parOCTO Technology
 
Comptoir OCTO - Mettre en production des agents IA : établir les bases de la ...
parOCTO Technology
 
Comptoir OCTO - Connaissez-vous vraiment les OKR ? Challengez vos connaissanc...
parOCTO Technology
 
Comptoir OCTO - Souveraineté numérique : Comprendre et pivoter pour assurer l...
parOCTO Technology
 
Comptoir OCTO - Agents IA : Tout ce qu'il faut savoir.
parOCTO Technology
 
Comment l’IA générative peut-elle moderniser efficacement vos SI Brownfield ?
parOCTO Technology
 
La Grosse Conf - IA générative et mésinformation comprendre les mécanisme...
parOCTO Technology
 
La Grosse Conf - Data et Humanité, un bilan mitigé - Frédéric Duvivier
parOCTO Technology
 
La Grosse Conf - LLMOps, on s'y met tout de suite ? - Ali El Moussawi
parOCTO Technology
 
La Grosse Conf - Déployer des modèles d'IA à l'edge : live coding et bonne...
parOCTO Technology
 
Le Comptoir OCTO - Transformer son organisation sans peur et sans douleur
parOCTO Technology
 
Duck Conf 2025 - Déjouer les pièges de Conway dans l'agilité à l'échelle
parOCTO Technology
 
Duck Conf 2025 - L’architecture continue par la pratique
parOCTO Technology
 
Duck Conf 2025 - Des millisecondes contre des millions d'euros
parOCTO Technology
 
Duck Conf 2025 - Du chaos au flow : faut-il miser sur la DevEx ?
parOCTO Technology
 
Duck Conf 2025 - Les pièges des plateformes : apprenez à les reconnaitre et à...
parOCTO Technology
 
Duck Conf 2025 - Le micro-frontend décomplexé : les dessous d’une migration i...
parOCTO Technology
 
Duck Conf 2025 - Tests Pragmatiques : Comment j'ai (presque) arrêté de faire...
parOCTO Technology
 
Duck Conf 2025 - "Modern Software Engineering & Architecture" : Les Tech Tren...
parOCTO Technology
 
La Grosse Conf 2025 - Baptiste Courbe - Model Platform : industrialiser et go...
parOCTO Technology
 

La Duck Conf - Continuous Security : Secure a DevOps World!

  • 1.
    OCTO Part ofAccenture Digital © 2019 - All rights reserved
  • 2.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
  • 3.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
  • 4.
  • 5.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
  • 6.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
  • 7.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
  • 8.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
  • 9.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
  • 10.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
  • 11.
  • 12.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
  • 13.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
  • 14.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 15.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
  • 16.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
  • 17.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 18.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
  • 19.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
  • 20.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
  • 21.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 22.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
  • 23.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
  • 24.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 25.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
  • 26.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
  • 27.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 28.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
  • 29.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
  • 30.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 31.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
  • 32.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
  • 33.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 34.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
  • 35.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
  • 36.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
  • 37.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
  • 38.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 39.
  • 40.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
  • 41.
    #LaDuckConf by OCTOTechnology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...
  • 42.