Image abstraite d'une femme assise sur des livres et étudiant sur un ordinateur portable

La Duck Conf - Continuous Security : Secure a DevOps World!

O
OCTO Technology

Le document présente l'importance de la sécurité continue dans les environnements DevOps, en soulignant la nécessité d'intégrer la sécurité à chaque étape du cycle de développement. Il décrit également les pratiques actuelles, les outils et les stratégies pour automatiser la sécurité afin de minimiser les vulnérabilités. Enfin, il insiste sur la formation et l'intégration d'équipes aux compétences multiples pour renforcer la sécurité des systèmes.

Technologie
1  sur  43
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
OCTO Part of Accenture Digital © 2019 - All rights reserved
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
Go faster 01
#LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
#LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
02Continuous Security
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
#LaDuckConf by OCTO Technology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
En pratique 03
#LaDuckConf by OCTO Technology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
#LaDuckConf by OCTO Technology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...
CultureOrganisationAutomatisation Conclusion
La Duck Conf - Continuous Security : Secure a DevOps World!

Contenu connexe

PPTX
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
OCTO Technology
 
PDF
La Duck Conf - "Kube is the new mainframe"
OCTO Technology
 
PDF
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
OCTO Technology
 
PDF
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
OCTO Technology
 
PDF
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...
OCTO Technology
 
PPTX
La Duck Conf : "Observabilité"
OCTO Technology
 
PDF
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
OCTO Technology
 
PDF
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
OCTO Technology
 
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
OCTO Technology
 
La Duck Conf - "Kube is the new mainframe"
OCTO Technology
 
La Duck Conf - "Les papys de l'ESB ont une histoire à vous conter"
OCTO Technology
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
OCTO Technology
 
La Duck Conf - "Mon DSI veut une MEP par jour, comment faire de l'architectur...
OCTO Technology
 
La Duck Conf : "Observabilité"
OCTO Technology
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
OCTO Technology
 
Le Comptoir OCTO - Quoi de neuf pour vos apps mobiles ?
OCTO Technology
 

Tendances (20)

PPTX
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
OCTO Technology
 
PPTX
Présentation travail du stage
Taoufiq Bahalla
 
PPTX
La Duck Conf - "Mise en prod de la data science : le jour d'après"
OCTO Technology
 
PDF
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
OCTO Technology
 
PDF
La Duck Conf - DevOps et Dataviz, un amour impossible ?
OCTO Technology
 
PDF
Le Comptoir OCTO - Les nouvelles topologies du Cloud
OCTO Technology
 
PDF
La Duck Conf - CovidTracker, la data au service de tous
OCTO Technology
 
PDF
La Duck Conf : "Microservices et transactions distribuées"
OCTO Technology
 
PDF
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
OCTO Technology
 
PDF
Le Comptoir OCTO - Data Science
OCTO Technology
 
PDF
Sensibilisation à l'Agile
OCTO Technology
 
PPTX
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
OCTO Technology
 
PDF
La Duck Conf - "L'API Management : au-délà des promesses"
OCTO Technology
 
PDF
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
OCTO Technology
 
PDF
La Duck Conf - Une équipe plateforme qui délivre
OCTO Technology
 
PDF
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
OCTO Technology
 
PDF
Le Comptoir OCTO - Le Cloud souverain
OCTO Technology
 
PDF
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
OCTO Technology
 
PPTX
Le Comptoir : Les Chatbot stores en 2020
OCTO Technology
 
PDF
Accelerate : la vitesse conditionne l'excellence
OCTO Technology
 
Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme
OCTO Technology
 
Présentation travail du stage
Taoufiq Bahalla
 
La Duck Conf - "Mise en prod de la data science : le jour d'après"
OCTO Technology
 
La Duck Conf - Initier un Datalab : rien à voir avec ce que j'imaginais !
OCTO Technology
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
OCTO Technology
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
OCTO Technology
 
La Duck Conf - CovidTracker, la data au service de tous
OCTO Technology
 
La Duck Conf : "Microservices et transactions distribuées"
OCTO Technology
 
La Duck Conf - "Quelle place pour le no code/low code dans les entreprises ?"
OCTO Technology
 
Le Comptoir OCTO - Data Science
OCTO Technology
 
Sensibilisation à l'Agile
OCTO Technology
 
Matinale : Ruche ou fourmilière, quel modèle pour votre passage à l’agilité à...
OCTO Technology
 
La Duck Conf - "L'API Management : au-délà des promesses"
OCTO Technology
 
La Duck Conf : "Apache Spark : ai-je besoin d'autre chose ?"
OCTO Technology
 
La Duck Conf - Une équipe plateforme qui délivre
OCTO Technology
 
Le Lounge OCTO x Accenture - Offrir une expérience premium sur mobile
OCTO Technology
 
Le Comptoir OCTO - Le Cloud souverain
OCTO Technology
 
La Duck Conf - "Du monolithe à une architecture orientée service : Cher monol...
OCTO Technology
 
Le Comptoir : Les Chatbot stores en 2020
OCTO Technology
 
Accelerate : la vitesse conditionne l'excellence
OCTO Technology
 
Publicité

Similaire à La Duck Conf - Continuous Security : Secure a DevOps World! (9)

PDF
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
OCTO Technology
 
PDF
Les tests de securite devops
Christophe Villeneuve
 
PDF
DevSecOps : de la théorie à la pratique
bertrandmeens
 
PDF
Afterwork Devops : vision et pratiques
OCTO Technology Suisse
 
PDF
Devops - vision et pratiques
Joseph Glorieux
 
PDF
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Philippe Beraud
 
PDF
Les tests de sécurité
Christophe Villeneuve
 
PDF
L'histoire d'une infrastructure itérative
François Xavier Vende
 
PDF
Infra as Code, choisissez vous la pilule rouge ou la pilule bleue - Devoxx 2016
Fabien Arcellier
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
OCTO Technology
 
Les tests de securite devops
Christophe Villeneuve
 
DevSecOps : de la théorie à la pratique
bertrandmeens
 
Afterwork Devops : vision et pratiques
OCTO Technology Suisse
 
Devops - vision et pratiques
Joseph Glorieux
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Philippe Beraud
 
Les tests de sécurité
Christophe Villeneuve
 
L'histoire d'une infrastructure itérative
François Xavier Vende
 
Infra as Code, choisissez vous la pilule rouge ou la pilule bleue - Devoxx 2016
Fabien Arcellier
 
Publicité

Plus de OCTO Technology (20)

PDF
Comptoir OCTO - Agents IA : Tout ce qu'il faut savoir.
OCTO Technology
 
PDF
Comment l’IA générative peut-elle moderniser efficacement vos SI Brownfield ?
OCTO Technology
 
PPTX
La Grosse Conf - IA générative et mésinformation comprendre les mécanisme...
OCTO Technology
 
PPTX
La Grosse Conf - Data et Humanité, un bilan mitigé - Frédéric Duvivier
OCTO Technology
 
PPTX
La Grosse Conf - LLMOps, on s'y met tout de suite ? - Ali El Moussawi
OCTO Technology
 
PPTX
La Grosse Conf - Déployer des modèles d'IA à l'edge : live coding et bonne...
OCTO Technology
 
PDF
Le Comptoir OCTO - Transformer son organisation sans peur et sans douleur
OCTO Technology
 
PDF
Duck Conf 2025 - Déjouer les pièges de Conway dans l'agilité à l'échelle
OCTO Technology
 
PDF
Duck Conf 2025 - L’architecture continue par la pratique
OCTO Technology
 
PDF
Duck Conf 2025 - Des millisecondes contre des millions d'euros
OCTO Technology
 
PPTX
Duck Conf 2025 - Du chaos au flow : faut-il miser sur la DevEx ?
OCTO Technology
 
PDF
Duck Conf 2025 - Les pièges des plateformes : apprenez à les reconnaitre et à...
OCTO Technology
 
PDF
Duck Conf 2025 - Le micro-frontend décomplexé : les dessous d’une migration i...
OCTO Technology
 
PDF
Duck Conf 2025 - Tests Pragmatiques : Comment j'ai (presque) arrêté de faire...
OCTO Technology
 
PDF
Duck Conf 2025 - "Modern Software Engineering & Architecture" : Les Tech Tren...
OCTO Technology
 
PPTX
La Grosse Conf 2025 - Baptiste Courbe - Model Platform : industrialiser et go...
OCTO Technology
 
PPTX
La Grosse Conf 2025 - Jean-Baptiste Larraufie - 30% plus rapide : notre recet...
OCTO Technology
 
PPTX
La Grosse Conf 2025 - Yannick Drant - Prototyper l’innovation : framework et ...
OCTO Technology
 
PPTX
La Grosse Conf 2025 - Karim Sayadi - Construire une data plateforme : entre m...
OCTO Technology
 
PPTX
La Grosse Conf 2025 - Laure Constantinesco - Mettez de l’UX dans votre IA
OCTO Technology
 
Comptoir OCTO - Agents IA : Tout ce qu'il faut savoir.
OCTO Technology
 
Comment l’IA générative peut-elle moderniser efficacement vos SI Brownfield ?
OCTO Technology
 
La Grosse Conf - IA générative et mésinformation comprendre les mécanisme...
OCTO Technology
 
La Grosse Conf - Data et Humanité, un bilan mitigé - Frédéric Duvivier
OCTO Technology
 
La Grosse Conf - LLMOps, on s'y met tout de suite ? - Ali El Moussawi
OCTO Technology
 
La Grosse Conf - Déployer des modèles d'IA à l'edge : live coding et bonne...
OCTO Technology
 
Le Comptoir OCTO - Transformer son organisation sans peur et sans douleur
OCTO Technology
 
Duck Conf 2025 - Déjouer les pièges de Conway dans l'agilité à l'échelle
OCTO Technology
 
Duck Conf 2025 - L’architecture continue par la pratique
OCTO Technology
 
Duck Conf 2025 - Des millisecondes contre des millions d'euros
OCTO Technology
 
Duck Conf 2025 - Du chaos au flow : faut-il miser sur la DevEx ?
OCTO Technology
 
Duck Conf 2025 - Les pièges des plateformes : apprenez à les reconnaitre et à...
OCTO Technology
 
Duck Conf 2025 - Le micro-frontend décomplexé : les dessous d’une migration i...
OCTO Technology
 
Duck Conf 2025 - Tests Pragmatiques : Comment j'ai (presque) arrêté de faire...
OCTO Technology
 
Duck Conf 2025 - "Modern Software Engineering & Architecture" : Les Tech Tren...
OCTO Technology
 
La Grosse Conf 2025 - Baptiste Courbe - Model Platform : industrialiser et go...
OCTO Technology
 
La Grosse Conf 2025 - Jean-Baptiste Larraufie - 30% plus rapide : notre recet...
OCTO Technology
 
La Grosse Conf 2025 - Yannick Drant - Prototyper l’innovation : framework et ...
OCTO Technology
 
La Grosse Conf 2025 - Karim Sayadi - Construire une data plateforme : entre m...
OCTO Technology
 
La Grosse Conf 2025 - Laure Constantinesco - Mettez de l’UX dans votre IA
OCTO Technology
 

Dernier (9)

PPTX
test pour la présentation foire de Chalôns V1
vrabievali
 
PDF
Frais et décompte dans SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
PDF
Architecture logicielle et Modeles de Conception
Ricken BAZOLO
 
PDF
Démystification des QR codes - histoire - utilisations - techniques
Thierry Leriche-Dessirier
 
PPTX
Projet de Fin d’Études – Plateforme FMS pour la Gestion des FCPR
AyariNabil
 
PDF
Analyse technique approfondie pour la gestion des transports dans SAP S/4HANA...
Libreria ERP
 
PDF
IPTV Meilleur - Le Meilleur Abonnement IPTV en France pour 2025
IPTV Meilleur
 
PPT
Pratiques des systèmes d'information ppt
lolita476685
 
PDF
COURS GCDs Chap 9.pdf tous les éléments.
bonifaceavlaya623
 
test pour la présentation foire de Chalôns V1
vrabievali
 
Frais et décompte dans SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
Architecture logicielle et Modeles de Conception
Ricken BAZOLO
 
Démystification des QR codes - histoire - utilisations - techniques
Thierry Leriche-Dessirier
 
Projet de Fin d’Études – Plateforme FMS pour la Gestion des FCPR
AyariNabil
 
Analyse technique approfondie pour la gestion des transports dans SAP S/4HANA...
Libreria ERP
 
IPTV Meilleur - Le Meilleur Abonnement IPTV en France pour 2025
IPTV Meilleur
 
Pratiques des systèmes d'information ppt
lolita476685
 
COURS GCDs Chap 9.pdf tous les éléments.
bonifaceavlaya623
 

La Duck Conf - Continuous Security : Secure a DevOps World!

  • 1. OCTO Part of Accenture Digital © 2019 - All rights reserved
  • 2. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security Securing a DevOps world!
  • 3. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Qui sommes nous ? Didier BERNAUDEAU Expert sécurité Jean-Baptiste JOLY OPS
  • 5. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyAlexHolyoakeonUnsplash
  • 6. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Industrialisation du cycle de développement INTÉGRATION CONTINUE LIVRAISON CONTINUE DÉPLOIEMENT CONTINU
  • 7. #LaDuckConf by OCTO Technology © 2020 - All rights reserved PhotobyKévinLanglaisonUnsplash
  • 8. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Quelques incidents ces dernières années ! 540 millions d'informations utilisateurs exposées sur un bucket S3 en libre accès (2019) Une vulnérabilité dans un framework expose les données de plus de 147 millions de personnes (2017) Accès aux documents d’un assuré en modifiant simplement l’identifiant du document dans l'URL (2019)
  • 9. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Les étapes de sécurité classiques Exigences de sécurité Audit de sécurité Un gros document que les opérationnels doivent impérativement respecter ! ● Exigences généralistes ● Exigences contradictoires avec les besoins du métier Un test d’intrusion et un audit de code source sont commandités par l’équipe sécurité. ● Réalisés tardivement ● Périmètre incomplet ● Vulnérabilités jamais corrigées
  • 10. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Discontinuous Security Sprint 0 Exigences de sécurité Audit de sécurité Et si nous changions nos pratiques ...
  • 12. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Continuous Security A chaque étape Intégrer la sécurité dans toutes les phases du cycle de développement Shift security to the left Intégrer la sécurité dès la première phase du cycle développement Automatisation Les ingénieurs sécurité sont peu nombreux face aux Devs, il faut automatiser les tâches A chaque cycle Réitérer les actions sécurité à chaque cycle de développement
  • 13. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Equipe DevSecOps Une équipe autonome et multi compétences: Développeurs, Ops et Security Ambassador
  • 14. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 15. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Ce que l’on fait en général ● Design Thinking ● User Stories ● Backlog ● Story Map Cadrage et spécification du produit d’un point de vue fonctionnel et technique
  • 16. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Plan Intégrer les exigences de sécurité dans le Backlog du produit ● User Security story (OWASP) ● Security Acceptance Criteria ● Backlog de risque avec les Evil User Stories … ce que l’on fait pour la sécurité
  • 17. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 18. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Ce que l’on fait en général Assurer le respect des conventions de code de l’équipe. Linter ● Pylint / Pycodestyle ● ESLint / Prettier ● Checkstyle
  • 19. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code … ce que l’on fait pour la sécurité Analyser le code source des applications pour déceler les vulnérabilités applicatives (XSS, SQLi, …) SAST (Static Application Security Testing) ● Coverity (Synopsys) ● Checkmarx ● Semmle LGTM / CodeQL ● Node : ESLint security ● Python : bandit ● Java : find security bugs
  • 20. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Code Il y a différents méthodes d’analyses ๏ Semantic code search ๏ Range Analysis (or bounds analysis) ๏ Control Flow Analysis (CFA) ๏ Data Flow Analysis (DFA)
  • 21. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 22. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Ce que l’on fait en général Compilation du code source pour créer un artefact Builder ● Gradle ● Maven ● …
  • 23. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Build Détecter l’utilisation de composants (package ou framework) ayant des vulnérabilités connues. SCA (Software Composition Analysis) ● npm audit ou yarn audit ● Dependency Check ● Dependabot … ce que l’on fait pour la sécurité
  • 24. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 25. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Les tests doivent à minima vérifier les critères d’acceptation des US. Test unitaire & Test d’intégration ● Mocha / Chai / supertest ● Sinon ● Unittest / Pytest ● JUnit Ce que l’on fait en général
  • 26. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Test Utiliser les frameworks et outils de test pour implémenter des tests de sécurité Outils et frameworks de test + Framework de test spécifique à la sécurité (exemple: spring security test) … ce que l’on fait pour la sécurité
  • 27. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps CodeBuild Test Deploy Operate Monitor DEV OPS Release Plan
  • 28. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Regrouper tous les éléments de l’application dans un package ● Package ○ JAR, WAR, ... ○ Image Docker ● Repository ○ Artifactory ○ Nexus ○ Docker Registry Ce que l’on fait en général
  • 29. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Release Détecter l’utilisation de composants (package, framework ou logiciel) ayant des vulnérabilités connues. Software Composition Analysis (SCA) et/ou Container Security Analysis (Clair, Trivy, Anchore, Microscanner….) … ce que l’on fait pour la sécurité
  • 30. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 31. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Provisionner et tester l'infrastructure supportant le produit ● Tests d’infrastructure ● Tests fonctionnels ● Tests de non régression ● Tests de performance Ce que l’on fait en général
  • 32. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Deploy Exécuter des tests de sécurité afin d’identifier des vulnérabilités soit au niveau de l’infrastructure soit de l’application. DAST (Dynamic Application Security Testing) ● OWASP ZAP ● Rapid7 ● Qualys ● ... … ce que l’on fait pour la sécurité
  • 33. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 34. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Collecter un maximum d’informations afin de réaliser les tableaux de bord et remonter les alertes en cas d’incident Les incontournables ● Prometheus / Grafana ● ElasticSearch / Kibana ● Nagios et Centreon Ce que l’on fait en général
  • 35. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Auditer en continu afin de garantir la conformité du système. Continuous Auditing ● AWS Guard Duty ● Azure Policy & Security Center ● Cloud Custodian ● ... … ce que l’on fait pour la sécurité
  • 36. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Operate & Monitor Détecter ou bloquer, en temps réel, toute tentative d’attaque. RASP (Runtime Application Self-Protection) ● Sqreen ● Seeker (Synopsys) ● OpenRASP (Baidu) ● Contrast Security ● ... … ce que l’on fait pour la sécurité
  • 37. #LaDuckConf by OCTO Technology © 2020 - All rights reserved IAST Interactive Application Security Testing DAST (Dynamic Application Security Testing) RASP (Runtime Application Self-Protection) IAST (Interactive Application Security Testing) + =
  • 38. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Cycle DevSecOps Code Build Test Deploy Operate Monitor DEV OPS Release Plan
  • 40. #LaDuckConf by OCTO Technology © 2020 - All rights reserved Un pipeline Open Source Code Build Test Deploy Operate Monitor DEV OPS Release Plan Cloud Custodian find security bugs
  • 41. #LaDuckConf by OCTO Technology © 2020 - All rights reserved ๏ Sélectionner un type d’outil ๏ L’outil idéal n’existe pas ๏ Accompagner le déploiement de l’outil dans les équipes Pour bien commencer ...