SlideShare une entreprise Scribd logo
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 1
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 2
Qui sommes-nous ?
Nicolas Bouquet
Leader de la tribu
Sécurité Applicative
Florent Jaby
Expert sécurité et API
Jordan Afonso
Expert sécurité et IoT
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 3
Toujours un périmètre de sécurité ?
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 4
Un contexte exigeant
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 5
Temps médian de détection d’une attaque
175 jours
(~6 mois)
source : Ponemon Institute, 2017
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 6
Le coût de résolution d’une anomalie
Très tôt
En
Développem
ent
80 $
Tôt
En
Intégration
240 $
Tard
En
Recette
960 $
Très tard
En
Production
7 600 $
(source : SANS 2016 - State of Application Security)
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 7
DevSecOps
Terme créé en 2012
THERE IS A BETTER WAY
Agiliser la sécurité
01
8
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 9
Raccourcir le délai de feedback
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 10
Sécurité orientée Métier
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 11
Sécurité en continu
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 12
Abuser Stories & Evil Stories
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Abuser Stories & Evil Stories
13
Interface de sqreen.io
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 14
Safer Sooner
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Safer Sooner
15
Poste de dev ProductionIntégration Recette
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 16
FAIL : First Attempt In Learning
THERE IS A BETTER WAY
Culture de la Collaboration
02
17
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 18
Les super-héros ?
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
๏ Une expertise ponctuelle ne vaut
jamais un accompagnement continu
๏ Investissez dans la formation de vos
collaborateurs
๏ Une expertise sécurité qui suit le cycle
de développement des produits
Ramener les compétences
au sein de l’équipe
19
Ramenez les compétences au sein de l’équipe
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 20
Partage de la connaissance
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 21
Formez les équipes : un exemple avec l’IoT
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 22
Favorisez la collaboration
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 23
#GoToFail
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Mettez vous à nu
24
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Mettez vous à nu
25
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 26
Partagez votre savoir sur les menaces
THERE IS A BETTER WAY
Automatisation
03
27
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 28
Proportion du code de votre application
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 29
Tester les dépendances
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 30
Secure Software Supply Chain
Code
Gitrob
ES Lint
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 31
Secure Software Supply Chain
Code Build
Dependency
check
+ SAST :
SONAR, Fortify,
Checkmarx
Gitrob
ES Lint
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 32
Secure Software Supply Chain
Code Build Test
ZAP
BDD Security
Gauntlt
Web Inspect
Dependency
check
+ SAST :
SONAR, Fortify,
Checkmarx
Gitrob
ES Lint
Continous Integration
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 33
Secure Software Supply Chain
Code Build Test Release
ZAP
BDD Security
Gauntlt
Web Inspect
Dependency
check
+ SAST :
SONAR, Fortify,
Checkmarx
Gitrob
ES Lint
Continous Integration
Continous Delivery
XRay (Artifactory)
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 34
Secure Software Supply Chain
Code Build Test Release Deploy
ZAP
BDD Security
Gauntlt
Web Inspect
Dependency
check
+ SAST :
SONAR, Fortify,
Checkmarx
Gitrob
ES Lint
Linter for IAC
Ansible Molecule
Continous Integration
Continous Delivery
XRay (Artifactory)
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 35
Secure Software Supply Chain
Code Build Test Release Deploy Operate
ZAP
BDD Security
Gauntlt
Web Inspect
Dependency
check
+ SAST :
SONAR, Fortify,
Checkmarx
Gitrob
ES Lint
Linter for IAC
Ansible Molecule Splunk
Continous Integration
Continous Delivery
Continous Deployment (DevOps)
XRay (Artifactory)
THERE IS A BETTER WAY
Conclusion
04
36
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
37
Former les équipes (dev, ops) à la sécurité applicative
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
38
Former les équipes (dev, ops) à la sécurité applicative
Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
39
Former les équipes (dev, ops) à la sécurité applicative
Lier la sécurité aux besoins métiers
Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
40
Former les équipes (dev, ops) à la sécurité applicative
Lier la sécurité aux besoins métiers
Automatiser la sécurité, progressivement
Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
41
Former les équipes (dev, ops) à la sécurité applicative
Lier la sécurité aux besoins métiers
Automatiser la sécurité, progressivement
Faire des tests réels
Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Par où commencer ?
42
Former les équipes (dev, ops) à la sécurité applicative
Lier la sécurité aux besoins métiers
Automatiser la sécurité, progressivement
Faire des tests réels
Corréler les données (logs, information sur les menaces) pour agir plus rapidement
Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
La culture, les hommes et les femmes d’abord
Guillaume Oudill, 2017
43
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable
Pour aller plus loin ...
44
THERE IS A BETTER WAY
La Matinale en images by Tatienne Laplanche
05
45
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 46
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 47
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 48
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 49
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 50
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 51
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 52
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 53
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 54
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 55
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 56
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 57
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 58
OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 59

Contenu connexe

Tendances

La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"
OCTO Technology
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileLe Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
OCTO Technology
 
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
OCTO Technology
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
OCTO Technology
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
OCTO Technology
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
OCTO Technology
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
OCTO Technology
 
La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe"
OCTO Technology
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf -  "Mise en prod de la data science : le jour d'après" La Duck Conf -  "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après"
OCTO Technology
 
Le Comptoir OCTO - Réparez votre innovation
Le Comptoir OCTO - Réparez votre innovation Le Comptoir OCTO - Réparez votre innovation
Le Comptoir OCTO - Réparez votre innovation
OCTO Technology
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
OCTO Technology
 
Petit-Déjeuner : Ceci n'est pas un mobile
Petit-Déjeuner : Ceci n'est pas un mobilePetit-Déjeuner : Ceci n'est pas un mobile
Petit-Déjeuner : Ceci n'est pas un mobile
OCTO Technology
 
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ? Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
OCTO Technology
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
OCTO Technology
 
La Duck conf : "Hey ! Ton appli est elle GDPR ready"
La Duck conf : "Hey ! Ton appli est elle GDPR ready"La Duck conf : "Hey ! Ton appli est elle GDPR ready"
La Duck conf : "Hey ! Ton appli est elle GDPR ready"
OCTO Technology
 
Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020
OCTO Technology
 
Présentation travail du stage
Présentation travail du stagePrésentation travail du stage
Présentation travail du stage
Taoufiq Bahalla
 
Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science
OCTO Technology
 
Kit Canvas
Kit CanvasKit Canvas
Kit Canvas
OCTO Technology
 
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
OCTO Technology
 

Tendances (20)

La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"La Duck Conf : "Microservices et transactions distribuées"
La Duck Conf : "Microservices et transactions distribuées"
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobileLe Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
 
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
 
La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe"
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
La Duck Conf -  "Mise en prod de la data science : le jour d'après" La Duck Conf -  "Mise en prod de la data science : le jour d'après"
La Duck Conf - "Mise en prod de la data science : le jour d'après"
 
Le Comptoir OCTO - Réparez votre innovation
Le Comptoir OCTO - Réparez votre innovation Le Comptoir OCTO - Réparez votre innovation
Le Comptoir OCTO - Réparez votre innovation
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
 
Petit-Déjeuner : Ceci n'est pas un mobile
Petit-Déjeuner : Ceci n'est pas un mobilePetit-Déjeuner : Ceci n'est pas un mobile
Petit-Déjeuner : Ceci n'est pas un mobile
 
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ? Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
 
La Duck conf : "Hey ! Ton appli est elle GDPR ready"
La Duck conf : "Hey ! Ton appli est elle GDPR ready"La Duck conf : "Hey ! Ton appli est elle GDPR ready"
La Duck conf : "Hey ! Ton appli est elle GDPR ready"
 
Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020Le Comptoir : Les Chatbot stores en 2020
Le Comptoir : Les Chatbot stores en 2020
 
Présentation travail du stage
Présentation travail du stagePrésentation travail du stage
Présentation travail du stage
 
Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science Le Comptoir OCTO - Data Science
Le Comptoir OCTO - Data Science
 
Kit Canvas
Kit CanvasKit Canvas
Kit Canvas
 
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
Matinale Accelerate : la vitesse conditionne l'excellence by OCTO Chti
 

Similaire à Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme

Découplez votre organisation
Découplez votre organisationDécouplez votre organisation
Découplez votre organisation
Samuel RETIERE
 
Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiques
Joseph Glorieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
OCTO Technology Suisse
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
Cisco Canada
 
L'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérativeL'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérative
François Xavier Vende
 
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
OCTO Technology
 
Réussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobileRéussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobile
OCTO Technology Suisse
 
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
Adrien PIGEOT
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
OCTO Technology
 
L'ADN d'un développement produit réussi
L'ADN d'un développement produit réussiL'ADN d'un développement produit réussi
L'ADN d'un développement produit réussi
OCTO Technology Suisse
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
cyrilpicat
 
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
OCTO Technology
 
Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?
OCTO Technology Suisse
 
LA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverainLA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverain
OCTO Technology
 
Petit-Déjeuner : Charlie et la Digital Factory
Petit-Déjeuner : Charlie et la Digital FactoryPetit-Déjeuner : Charlie et la Digital Factory
Petit-Déjeuner : Charlie et la Digital Factory
OCTO Technology
 
Initiation à la Réalité Mixte et aux Expériences Immersives
Initiation à la Réalité Mixte et aux Expériences ImmersivesInitiation à la Réalité Mixte et aux Expériences Immersives
Initiation à la Réalité Mixte et aux Expériences Immersives
Vincent Guigui
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureGuillaume Laforge
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Technology
 
Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence
OCTO Technology
 
Cwin16 - Paris - dev ops
Cwin16 - Paris - dev opsCwin16 - Paris - dev ops
Cwin16 - Paris - dev ops
Capgemini
 

Similaire à Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme (20)

Découplez votre organisation
Découplez votre organisationDécouplez votre organisation
Découplez votre organisation
 
Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiques
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
 
L'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérativeL'histoire d'une infrastructure itérative
L'histoire d'une infrastructure itérative
 
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...
 
Réussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobileRéussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobile
 
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
Live academy #5 - Live Academy #5 : Quelles compétences acquérir pour relever...
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
 
L'ADN d'un développement produit réussi
L'ADN d'un développement produit réussiL'ADN d'un développement produit réussi
L'ADN d'un développement produit réussi
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
 
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les m...
 
Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?
 
LA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverainLA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverain
 
Petit-Déjeuner : Charlie et la Digital Factory
Petit-Déjeuner : Charlie et la Digital FactoryPetit-Déjeuner : Charlie et la Digital Factory
Petit-Déjeuner : Charlie et la Digital Factory
 
Initiation à la Réalité Mixte et aux Expériences Immersives
Initiation à la Réalité Mixte et aux Expériences ImmersivesInitiation à la Réalité Mixte et aux Expériences Immersives
Initiation à la Réalité Mixte et aux Expériences Immersives
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans rupture
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
 
Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence Accelerate : la vitesse conditionne l'excellence
Accelerate : la vitesse conditionne l'excellence
 
Cwin16 - Paris - dev ops
Cwin16 - Paris - dev opsCwin16 - Paris - dev ops
Cwin16 - Paris - dev ops
 

Plus de OCTO Technology

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
OCTO Technology
 
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
OCTO Technology
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
OCTO Technology
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
OCTO Technology
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
OCTO Technology
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
OCTO Technology
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
OCTO Technology
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
OCTO Technology
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
OCTO Technology
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Technology
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
OCTO Technology
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
OCTO Technology
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
OCTO Technology
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
OCTO Technology
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
OCTO Technology
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
OCTO Technology
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
OCTO Technology
 

Plus de OCTO Technology (20)

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
 
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
 

Dernier

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 

Dernier (7)

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme

  • 1. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 1
  • 2. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 2 Qui sommes-nous ? Nicolas Bouquet Leader de la tribu Sécurité Applicative Florent Jaby Expert sécurité et API Jordan Afonso Expert sécurité et IoT
  • 3. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 3 Toujours un périmètre de sécurité ?
  • 4. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 4 Un contexte exigeant
  • 5. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 5 Temps médian de détection d’une attaque 175 jours (~6 mois) source : Ponemon Institute, 2017
  • 6. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 6 Le coût de résolution d’une anomalie Très tôt En Développem ent 80 $ Tôt En Intégration 240 $ Tard En Recette 960 $ Très tard En Production 7 600 $ (source : SANS 2016 - State of Application Security)
  • 7. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 7 DevSecOps Terme créé en 2012
  • 8. THERE IS A BETTER WAY Agiliser la sécurité 01 8
  • 9. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 9 Raccourcir le délai de feedback
  • 10. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 10 Sécurité orientée Métier
  • 11. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 11 Sécurité en continu
  • 12. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 12 Abuser Stories & Evil Stories
  • 13. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Abuser Stories & Evil Stories 13 Interface de sqreen.io
  • 14. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 14 Safer Sooner
  • 15. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Safer Sooner 15 Poste de dev ProductionIntégration Recette
  • 16. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 16 FAIL : First Attempt In Learning
  • 17. THERE IS A BETTER WAY Culture de la Collaboration 02 17
  • 18. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 18 Les super-héros ?
  • 19. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable ๏ Une expertise ponctuelle ne vaut jamais un accompagnement continu ๏ Investissez dans la formation de vos collaborateurs ๏ Une expertise sécurité qui suit le cycle de développement des produits Ramener les compétences au sein de l’équipe 19 Ramenez les compétences au sein de l’équipe
  • 20. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 20 Partage de la connaissance
  • 21. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 21 Formez les équipes : un exemple avec l’IoT
  • 22. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 22 Favorisez la collaboration
  • 23. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 23 #GoToFail
  • 24. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Mettez vous à nu 24
  • 25. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Mettez vous à nu 25
  • 26. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 26 Partagez votre savoir sur les menaces
  • 27. THERE IS A BETTER WAY Automatisation 03 27
  • 28. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 28 Proportion du code de votre application
  • 29. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 29 Tester les dépendances
  • 30. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 30 Secure Software Supply Chain Code Gitrob ES Lint
  • 31. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 31 Secure Software Supply Chain Code Build Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint
  • 32. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 32 Secure Software Supply Chain Code Build Test ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Continous Integration
  • 33. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 33 Secure Software Supply Chain Code Build Test Release ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Continous Integration Continous Delivery XRay (Artifactory)
  • 34. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 34 Secure Software Supply Chain Code Build Test Release Deploy ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Linter for IAC Ansible Molecule Continous Integration Continous Delivery XRay (Artifactory)
  • 35. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 35 Secure Software Supply Chain Code Build Test Release Deploy Operate ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Linter for IAC Ansible Molecule Splunk Continous Integration Continous Delivery Continous Deployment (DevOps) XRay (Artifactory)
  • 36. THERE IS A BETTER WAY Conclusion 04 36
  • 37. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 37 Former les équipes (dev, ops) à la sécurité applicative
  • 38. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 38 Former les équipes (dev, ops) à la sécurité applicative Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  • 39. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 39 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  • 40. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 40 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  • 41. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 41 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Faire des tests réels Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  • 42. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 42 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Faire des tests réels Corréler les données (logs, information sur les menaces) pour agir plus rapidement Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  • 43. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable La culture, les hommes et les femmes d’abord Guillaume Oudill, 2017 43
  • 44. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Pour aller plus loin ... 44
  • 45. THERE IS A BETTER WAY La Matinale en images by Tatienne Laplanche 05 45
  • 46. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 46
  • 47. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 47
  • 48. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 48
  • 49. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 49
  • 50. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 50
  • 51. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 51
  • 52. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 52
  • 53. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 53
  • 54. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 54
  • 55. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 55
  • 56. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 56
  • 57. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 57
  • 58. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 58
  • 59. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 59