Scribd Logo
Importer

Bienvenue sur Scribd !

  • Export

    Transféré par

    Omar Biteye
    10 vues7 pages

    Titre original

    export (3)

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    10 vues7 pages

    Export

    Transféré par

    Omar Biteye

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 7

    Omar BITEYE

    La transformation des équipes par le


    DevSecOps

    1. Le business d’aujourd’hui

    De nombreux intervenants nous font de plus en plus savoir que l’IT est devenu le vrai business des
    entreprises aujourd’hui. En effet, existe-t-il une entreprise de taille importante dont l’informatique ne
    consiste pas en un poste de coût majeur, et en un département qui produit également de la valeur ?

    Les demandes se font toujours de plus en plus nombreuses pour avoir des applications et des services à
    consommer rapidement (un peu comme les applications sur smartphone), et cela malgré des risques en
    cybersécurité qui apparaissent chaque jour. Il est rare de rester plus d’un mois sans entendre qu’un très
    grand groupe a été la victime d’une attaque informatique.

    Comment continuer à produire rapidement des services et produits de forte qualité, tout en maintenant
    des conditions de sécurité élevées pour l’infrastructure et le code ? Le DevSecOps apparaît comme une
    réponse possible à cette équation.

    2. Le fonctionnement dans « l’ancien monde » en silos

    Pour délivrer des logiciels et effectuer du développement, les entreprises ont beaucoup fonctionné en
    silos (et nombre d’entre elles le font toujours aujourd’hui). C’est-à-dire qu’elles étaient (et sont parfois
    toujours) composées en équipes séparées, chargées de s’occuper d’une partie du système d’information :
    une équipe de développeurs, une équipe pour les systèmes Linux, une équipe pour la virtualisation, une
    équipe pour le réseau, une équipe pour les datacenters, une équipe pour la sécurité, etc.

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -1-
    Omar BITEYE

    Malheureusement, cette méthode de fonctionnement pose quelques problèmes. En effet, il devient


    impossible pour une équipe d’effectuer correctement son travail sans devoir interagir avec d’autres
    équipes. Mais, du fait de responsabilités qui ne sont pas clairement établies, il est souvent difficile de
    trouver la cause initiale de certains problèmes ou incidents qui peuvent apparaître sur les produits. Est-ce
    le code qui est en cause ? Le réseau ? Le système sur lequel le code est hébergé ? Les autorisations dans
    les flux de données ?

    3. Les premiers changements apportés par le DevOps

    Grâce à l’avènement du Cloud et du DevOps, les choses ont commencé à changer. En effet, les équipes de
    delivery regroupent désormais les développeurs, mais aussi les ingénieurs système et Cloud. Les
    échanges se font ainsi dorénavant à l’intérieur d’une seule et même équipe.

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -2-
    Omar BITEYE

    Les équipes Cloud peuvent alors fournir aux développeurs les bases d’automatisation, et de pipelines
    d’intégration et de déploiement continus leur permettant de travailler en autonomie, sans avoir besoin de
    les solliciter directement. De plus, ils peuvent effectuer le RUN (maintien en condition opérationnelle) et le
    support de la plateforme Cloud sur laquelle travaillent les équipes.

    Cependant, les aspects sécurité sont toujours en dehors du cycle de développement des logiciels, ce qui
    peut occasionner des ralentissements dans la capacité des équipes à

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -3-
    Omar BITEYE

    délivrer rapidement et efficacement leurs nouveaux développements.

    4. Quelques optimisations apportées par le DevSecOps

    Grâce au DevSecOps, la sécurité est intégrée directement dans les équipes s’occupant du développement
    et dans celles dont le rôle est de maintenir la plateforme Cloud opérationnelle.

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -4-
    Omar BITEYE

    Les méthodes mises en place par les équipes Cloud peuvent ainsi être facilement réutilisées par toutes
    les autres équipes DevOps travaillant sur des produits et des fonctionnalités différentes. Les
    responsabilités, en matière de sécurité, de chaque équipe, sont beaucoup plus claires et permettent à tout
    le monde de mieux intégrer les différents périmètres au niveau desquels ils doivent se sentir concernés.

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -5-
    Omar BITEYE

    5. Quelques clés pour faire adopter le DevSecOps par les équipes

    L’adoption du DevSecOps par les équipes est un réel enjeu. Beaucoup d’entreprises s’y sont essayées…
    sans succès.

    Un élément qui fonctionne plutôt bien consiste à intégrer des membres de la sécurité dans les équipes et
    les différents processus. En effet, dans certaines entreprises, il est souvent question de Security
    Champions : un représentant de l’équipe sécurité qui intègre une équipe de développement ou
    d’infrastructure, pour travailler avec elle au quotidien.

    Automatiser un maximum de tâches, depuis le build initial, jusqu’aux opérations de vérification de


    conformité du code et des déploiements, permet de délester les équipes d’un certain nombre d’actions
    manuelles.

    Accompagner les équipes dans l’utilisation des CIS Benchmark, accessibles sur le lien
    https://www.cisecurity.org/cis-benchmarks/, comportant un certain nombre de guides pour renforcer la
    sécurité des systèmes et produits, peut également être une clé à une bonne adoption des pratiques de
    sécurité.

    Extrait de la liste des benchmarks du site https://www.cisecurity.org :

    Il est également possible de se conformer aux référentiels correspondant aux outils utilisés. Vous pouvez
    accéder à l’AWS IAM Best practices sur la page

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -6-
    Omar BITEYE

    https://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/best-practices.html listant l’ensemble des


    éléments à vérifier dans l’IAM d’AWS pour s’assurer de la bonne configuration en matière de sécurité de la
    gestion des identités. Des documents similaires sont disponibles pour la plupart des fournisseurs de
    service.

    6. L’avènement des T-Shaped Peoples

    Il est vrai que les équipes ont besoin de se transformer du point de vue organisationnel pour évoluer vers
    des méthodes plus efficaces. Cependant, il ne faut pas oublier que les individus sont essentiels à une
    bonne transformation.

    En effet, le DevSecOps apporte la nécessité pour les professionnels de l’informatique, de devenir des T-
    Shaped peoples, c’est-à-dire des individus capables d’intervenir sur des domaines variés grâce à leurs
    compétences multiples.

    Ils doivent donc avoir la capacité de monter en expertise et en connaissances générales, pour avoir une
    bonne vision d’ensemble et penser et agir en dehors des silos qui existent dans l’entreprise.

     Tous les intervenants doivent posséder des compétences de base dans la mise en
    œuvre des tests de sécurité et en gestion des risques.

    © Editions ENI - Tous droits réservés - Copie personnelle de Omar BITEYE -7-

    Vous aimerez peut-être aussi