SlideShare une entreprise Scribd logo

DevSecOps : de la théorie à la pratique

B
bertrandmeens

Présentation de la démarche DevSecOps chez wegravit lors des NetSecure Day 2017

Technologie
1  sur  28
#NSD17 - DevSecOps De la Théorie à la Pratique #NSD17 - DevSecOps : de la Théorie à la Pratique
About me  Passionné par l’innovation et la sécurité numérique  Secrétaire-adjoint du CLUSIR NdF  CISO @wegravit  Fondateur d’Incloudio   @gritche_ #NSD17 - DevSecOps : de la Théorie à la Pratique
#NSD17 - DevSecOps : de la Théorie à la Pratique
#NSD17 - DevSecOps : de la Théorie à la Pratique
Le contexte • wegravit : un beau projet et un challenge • Startup avec une plateforme en version MVP / Refonte pour 2018 • Développement agile = désorganisé • Peu d’industrialisation • Pas de vraie culture sécurité #NSD17 - DevSecOps : de la Théorie à la Pratique
DevOps, d’abord un processus #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Monitor DEV OPS
DevOps, un rythme pour le time-to-market #NSD17 - DevSecOps : de la Théorie à la Pratique CodeDesign DeployTest Design Design Cycle en V (Waterfall) Agile Tempus fugit… DevOps Code Test DeployCode Test Code Test
De l’agile au DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate DevOps Continuous Delivery Continuous Integration Agile
L’usine DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery
La boîte à outils DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Repository git / Bitbucket / GitLab / TFS Cloud & Infra IaaS / PaaS / Docker / DB Exemples non-représentatifs du Gartner et non-exhaustifs Collaboration JIRA / Redmine / Slack / Trello Documentation Wiki / ReadTheDocs / Confluence Build Maven / Grunt / Ant CI / CD Jenkins / Bamboo / Travis Orchestration Ansible / Puppet / SaltStack / Docker / Kubernetes / API Gateway / Load Balancer / Rudder Test JUnit / PHPUnit / Selenium / Jmeter / Sonar / cucumber / LoadRunner Log Management ELK / Graylog2 / Splunk Monitoring Nagios / Incinga / Shinken APM New Relic / Dynatrace / AppDynamics Misc A vous d’ajouter vos outils !
Vision du CNCF pour exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
SEC CONFIDENTIALITY INTEGRITY AUDITABILITY Du DevOps au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DEV CODE & BUILD SOFTWARES OPS AVALAIBILITY PERFORMANCE SCALING DevOps IT SecuritySecure development DevSecOps http://web.devopstopologies.com/
DevSecOps, et donc !? #NSD17 - DevSecOps : de la Théorie à la Pratique Sécuriser le DevOps Intégrer la sécurité dans le DevOps
Sécuriser le DevOps • Maîtriser ses assets et éviter le Shadow IT • Segmenter les environnements • Gérer les droits d’accès • Auditer son usine à développement • Sécuriser les postes de travail #NSD17 - DevSecOps : de la Théorie à la Pratique
Le Secure-SDLC appliqué au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Politique de sécurité Analyse de risques Modélisation des menaces Sensibilisation DevSec Code Référentiel de bonnes pratiques Revue de code Build Audit de code Audi de vulnérabilités Test Audit de code Audit d’intrusion Audit de vulnérabilités Release & Deploy Audit d’infrastructure Audit de vulnérabilités Operate Audit de vulnérabilités Pentest / Bug Bounty Protection des applications Monitor Gestion des vulnérabilités Détection d’attaques DEV OPS
L’usine DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery Code review Code audit Bug Bounty Vulnerability audit Pentest / Audit Vulnerability Management SOC Risk analysis Awareness
La boîte à outils DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Exemples non-représentatifs du Gartner et non-exhaustifs SAST Sonar / Checkmarx / Fortify DAST Netsparker / AppSpider / OWASP Zap Vuln. Scan Nessus / Rapid7 / OpenVAS Bug Bounty Yogosha / Bounty Factory SOC IDS/IPS (Snort, Suricata, OSSEC…) / WAF (Mod_Security, NAXSI…) / SIEM / Threat Intel Best practices OWASP / MITRE CWE / SANS Institute
Pourquoi le Sec est important ? • Diminuer la durée de vie des vulnérabilités • Donc de la probabilité d’exploitation • Sécuriser mais aussi protéger ! #NSD17 - DevSecOps : de la Théorie à la Pratique Shift security left
Une roadmap piloté par la maturité #NSD17 - DevSecOps : de la Théorie à la Pratique Level 3 - MANAGED Démarche maîtrisée avec KPI Amélioration itérative de l’usine DevSecOps selon les besoins Level 2 - ADVANCED Organisation et processus fluide Boîte à outils satisfaisante Industrialisation efficace des MeP Level 1 - INIT Organisation en mutation Boîte à outils en cours de fourniture Début d’industrialisation des MeP avec un décloisonnement des environnements Level 0 Dev vs Ops vs Sec Un peu d’agile
Le bilan @wegravit - les points positifs • Bonne accueil car "souffrance" du manque d'industrialisation et aspect "moderne" de la démarche • Intégration de la sécurité directement dans le cycle de développement • Adoption assez rapide : test de Snuffleupagus par exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
Le bilan @wegravit - les points à améliorer • Casser les habitudes : sortir les Dev et les Ops de leur zone de confort • DevSecOps ne se résume pas à des outils • Chemin encore long pour arriver à maturité #NSD17 - DevSecOps : de la Théorie à la Pratique
Mes conseils • DevSecOps ne s'applique pas à toutes les organisations et les SI • Impliquer les équipes dans la mise en œuvre • Se faire accompagner • Persévérer #NSD17 - DevSecOps : de la Théorie à la Pratique
Objectif du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Créer un système coopératif pour un objectif unique : Délivrer en continu & Opérer une application sécurisée
Philosophie du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DevSecOps est une culture interne de collaboration structurée sur une organisation et des outils. DEV vs OPS vs SECDEV vs OPS vs SEC
Un dernier mot #NSD17 - DevSecOps : de la Théorie à la Pratique Le DevSecOps est à l’industrie numérique ce que le Lean Management est à l’industrie automobile.
Pour aller plus loin • https://fr.wikipedia.org/wiki/Devops • https://www.devopsdays.org/ • https://blog.octo.com/devops/ • http://blog.xebia.fr/2017/04/21/introduct ion-a-devops/ #NSD17 - DevSecOps : de la Théorie à la Pratique
DevSecOps : de la théorie à la pratique

Recommandé

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
DEVOPS
DEVOPSDEVOPS
DEVOPSTayssirLimem
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesStéphane Di Cioccio
 
DEVOPS - La synthèse
DEVOPS - La synthèseDEVOPS - La synthèse
DEVOPS - La synthèseCOMPETENSIS
 

Recommandé

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
DEVOPS
DEVOPSDEVOPS
DEVOPSTayssirLimem
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesStéphane Di Cioccio
 
DEVOPS - La synthèse
DEVOPS - La synthèseDEVOPS - La synthèse
DEVOPS - La synthèseCOMPETENSIS
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference ArchitecturesSonatype
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisKeynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisJason De Oliveira
 
Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDBMongoDB
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)safwenbenfredj
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
PrésentationCI_CD.pptx
PrésentationCI_CD.pptxPrésentationCI_CD.pptx
PrésentationCI_CD.pptxBechirElosma
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101Narudom Roongsiriwong, CISSP
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsabhimanyubhogwan
 
devops.pdf
devops.pdfdevops.pdf
devops.pdfqsdqsd4
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaBenoît SAUTIERE
 

Contenu connexe

Tendances

DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference ArchitecturesSonatype
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisKeynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisJason De Oliveira
 
Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDBMongoDB
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)safwenbenfredj
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
PrésentationCI_CD.pptx
PrésentationCI_CD.pptxPrésentationCI_CD.pptx
PrésentationCI_CD.pptxBechirElosma
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 

Tendances (20)

DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in ParisKeynote DevOps - Microsoft DevOps Day 2014 in Paris
Keynote DevOps - Microsoft DevOps Day 2014 in Paris
 
Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDB
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018
 
PrésentationCI_CD.pptx
PrésentationCI_CD.pptxPrésentationCI_CD.pptx
PrésentationCI_CD.pptx
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 

Similaire à DevSecOps : de la théorie à la pratique

devops.pdf
devops.pdfdevops.pdf
devops.pdfqsdqsd4
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaBenoît SAUTIERE
 
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Samir Arezki ☁
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...CEDRIC DERUE
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...matteo mazzeri
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXSamuel Metias
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020NimeOps
 
DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleSamuel Metias
 
8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur AzureaOS Community
 
20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOpsLeClubQualiteLogicielle
 
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)François
 
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...Adrien Clerbois
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Publicis Sapient Engineering
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans AzureManon PERNIN
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Ludovic Piot
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMGrégory Ott
 
Mise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMicrosoft Technet France
 

Similaire à DevSecOps : de la théorie à la pratique (20)

devops.pdf
devops.pdfdevops.pdf
devops.pdf
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio Cellenza
 
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
 
Mohamed.marouan
Mohamed.marouanMohamed.marouan
Mohamed.marouan
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020
 
DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitale
 
8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure8 Rex : Mise en place de DevOps sur Azure
8 Rex : Mise en place de DevOps sur Azure
 
20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps20171122 03 - Les tests de performance en environnement DevOps
20171122 03 - Les tests de performance en environnement DevOps
 
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
C'est une bonne situation ça, Staff Engineer ? 😉 (@DevoxxFR 2024)
 
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
DevOps et ALM : Application Lifecycle Management: Continuous Delivery avec Vi...
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans Azure
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018Devops, un tour d'horizon - Eutelsat 2018
Devops, un tour d'horizon - Eutelsat 2018
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALM
 
Adoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALMAdoption incrémentale des tests dans VS ALM
Adoption incrémentale des tests dans VS ALM
 
Mise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows Azure
 

Plus de bertrandmeens

Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?bertrandmeens
 
DevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitéDevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitébertrandmeens
 
Le Bug Bounty en 2017
Le Bug Bounty en 2017Le Bug Bounty en 2017
Le Bug Bounty en 2017bertrandmeens
 

Plus de bertrandmeens (6)

cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?
 
DevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilitéDevSecOps ou comment faire rimer cybersécurité et agilité
DevSecOps ou comment faire rimer cybersécurité et agilité
 
La privacy en 2018
La privacy en 2018La privacy en 2018
La privacy en 2018
 
Le Bug Bounty en 2017
Le Bug Bounty en 2017Le Bug Bounty en 2017
Le Bug Bounty en 2017
 

DevSecOps : de la théorie à la pratique

  • 1.
  • 2. #NSD17 - DevSecOps De la Théorie à la Pratique #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 3. About me  Passionné par l’innovation et la sécurité numérique  Secrétaire-adjoint du CLUSIR NdF  CISO @wegravit  Fondateur d’Incloudio   @gritche_ #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 4. #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 5. #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 6. Le contexte • wegravit : un beau projet et un challenge • Startup avec une plateforme en version MVP / Refonte pour 2018 • Développement agile = désorganisé • Peu d’industrialisation • Pas de vraie culture sécurité #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 7. DevOps, d’abord un processus #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Monitor DEV OPS
  • 8. DevOps, un rythme pour le time-to-market #NSD17 - DevSecOps : de la Théorie à la Pratique CodeDesign DeployTest Design Design Cycle en V (Waterfall) Agile Tempus fugit… DevOps Code Test DeployCode Test Code Test
  • 9. De l’agile au DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate DevOps Continuous Delivery Continuous Integration Agile
  • 10. L’usine DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery
  • 11. La boîte à outils DevOps #NSD17 - DevSecOps : de la Théorie à la Pratique Repository git / Bitbucket / GitLab / TFS Cloud & Infra IaaS / PaaS / Docker / DB Exemples non-représentatifs du Gartner et non-exhaustifs Collaboration JIRA / Redmine / Slack / Trello Documentation Wiki / ReadTheDocs / Confluence Build Maven / Grunt / Ant CI / CD Jenkins / Bamboo / Travis Orchestration Ansible / Puppet / SaltStack / Docker / Kubernetes / API Gateway / Load Balancer / Rudder Test JUnit / PHPUnit / Selenium / Jmeter / Sonar / cucumber / LoadRunner Log Management ELK / Graylog2 / Splunk Monitoring Nagios / Incinga / Shinken APM New Relic / Dynatrace / AppDynamics Misc A vous d’ajouter vos outils !
  • 12. Vision du CNCF pour exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 13. SEC CONFIDENTIALITY INTEGRITY AUDITABILITY Du DevOps au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DEV CODE & BUILD SOFTWARES OPS AVALAIBILITY PERFORMANCE SCALING DevOps IT SecuritySecure development DevSecOps http://web.devopstopologies.com/
  • 14. DevSecOps, et donc !? #NSD17 - DevSecOps : de la Théorie à la Pratique Sécuriser le DevOps Intégrer la sécurité dans le DevOps
  • 15. Sécuriser le DevOps • Maîtriser ses assets et éviter le Shadow IT • Segmenter les environnements • Gérer les droits d’accès • Auditer son usine à développement • Sécuriser les postes de travail #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 16. Le Secure-SDLC appliqué au DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Politique de sécurité Analyse de risques Modélisation des menaces Sensibilisation DevSec Code Référentiel de bonnes pratiques Revue de code Build Audit de code Audi de vulnérabilités Test Audit de code Audit d’intrusion Audit de vulnérabilités Release & Deploy Audit d’infrastructure Audit de vulnérabilités Operate Audit de vulnérabilités Pentest / Bug Bounty Protection des applications Monitor Gestion des vulnérabilités Détection d’attaques DEV OPS
  • 17. L’usine DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Plan Code Build Test Release Deploy Operate Repository Documentation Cloud & Infrastructure Monitoring & Alerting Monitor APM Log Management Performance Quality Functional Business IDE Collaboration Orchestration Build tool Continuous Integration & Continuous Delivery Code review Code audit Bug Bounty Vulnerability audit Pentest / Audit Vulnerability Management SOC Risk analysis Awareness
  • 18. La boîte à outils DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Exemples non-représentatifs du Gartner et non-exhaustifs SAST Sonar / Checkmarx / Fortify DAST Netsparker / AppSpider / OWASP Zap Vuln. Scan Nessus / Rapid7 / OpenVAS Bug Bounty Yogosha / Bounty Factory SOC IDS/IPS (Snort, Suricata, OSSEC…) / WAF (Mod_Security, NAXSI…) / SIEM / Threat Intel Best practices OWASP / MITRE CWE / SANS Institute
  • 19. Pourquoi le Sec est important ? • Diminuer la durée de vie des vulnérabilités • Donc de la probabilité d’exploitation • Sécuriser mais aussi protéger ! #NSD17 - DevSecOps : de la Théorie à la Pratique Shift security left
  • 20. Une roadmap piloté par la maturité #NSD17 - DevSecOps : de la Théorie à la Pratique Level 3 - MANAGED Démarche maîtrisée avec KPI Amélioration itérative de l’usine DevSecOps selon les besoins Level 2 - ADVANCED Organisation et processus fluide Boîte à outils satisfaisante Industrialisation efficace des MeP Level 1 - INIT Organisation en mutation Boîte à outils en cours de fourniture Début d’industrialisation des MeP avec un décloisonnement des environnements Level 0 Dev vs Ops vs Sec Un peu d’agile
  • 21. Le bilan @wegravit - les points positifs • Bonne accueil car "souffrance" du manque d'industrialisation et aspect "moderne" de la démarche • Intégration de la sécurité directement dans le cycle de développement • Adoption assez rapide : test de Snuffleupagus par exemple #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 22. Le bilan @wegravit - les points à améliorer • Casser les habitudes : sortir les Dev et les Ops de leur zone de confort • DevSecOps ne se résume pas à des outils • Chemin encore long pour arriver à maturité #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 23. Mes conseils • DevSecOps ne s'applique pas à toutes les organisations et les SI • Impliquer les équipes dans la mise en œuvre • Se faire accompagner • Persévérer #NSD17 - DevSecOps : de la Théorie à la Pratique
  • 24. Objectif du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique Créer un système coopératif pour un objectif unique : Délivrer en continu & Opérer une application sécurisée
  • 25. Philosophie du DevSecOps #NSD17 - DevSecOps : de la Théorie à la Pratique DevSecOps est une culture interne de collaboration structurée sur une organisation et des outils. DEV vs OPS vs SECDEV vs OPS vs SEC
  • 26. Un dernier mot #NSD17 - DevSecOps : de la Théorie à la Pratique Le DevSecOps est à l’industrie numérique ce que le Lean Management est à l’industrie automobile.
  • 27. Pour aller plus loin • https://fr.wikipedia.org/wiki/Devops • https://www.devopsdays.org/ • https://blog.octo.com/devops/ • http://blog.xebia.fr/2017/04/21/introduct ion-a-devops/ #NSD17 - DevSecOps : de la Théorie à la Pratique