Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme

539 views

Published on

Avec les pratiques Agile, DevOps, Lean startup, Design thinking, nos organisations ne se contentent pas de s’adapter au changement permanent. Elles le désirent et le provoquent.

Quelles conséquences sur la sécurité ?

Published in: Technology
  • Be the first to comment

Matinale DevSecOps League : Sortez la sécurité de l'obscurantisme

  1. 1. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 1
  2. 2. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 2 Qui sommes-nous ? Nicolas Bouquet Leader de la tribu Sécurité Applicative Florent Jaby Expert sécurité et API Jordan Afonso Expert sécurité et IoT
  3. 3. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 3 Toujours un périmètre de sécurité ?
  4. 4. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 4 Un contexte exigeant
  5. 5. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 5 Temps médian de détection d’une attaque 175 jours (~6 mois) source : Ponemon Institute, 2017
  6. 6. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 6 Le coût de résolution d’une anomalie Très tôt En Développem ent 80 $ Tôt En Intégration 240 $ Tard En Recette 960 $ Très tard En Production 7 600 $ (source : SANS 2016 - State of Application Security)
  7. 7. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 7 DevSecOps Terme créé en 2012
  8. 8. THERE IS A BETTER WAY Agiliser la sécurité 01 8
  9. 9. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 9 Raccourcir le délai de feedback
  10. 10. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 10 Sécurité orientée Métier
  11. 11. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 11 Sécurité en continu
  12. 12. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 12 Abuser Stories & Evil Stories
  13. 13. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Abuser Stories & Evil Stories 13 Interface de sqreen.io
  14. 14. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 14 Safer Sooner
  15. 15. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Safer Sooner 15 Poste de dev ProductionIntégration Recette
  16. 16. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 16 FAIL : First Attempt In Learning
  17. 17. THERE IS A BETTER WAY Culture de la Collaboration 02 17
  18. 18. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 18 Les super-héros ?
  19. 19. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable ๏ Une expertise ponctuelle ne vaut jamais un accompagnement continu ๏ Investissez dans la formation de vos collaborateurs ๏ Une expertise sécurité qui suit le cycle de développement des produits Ramener les compétences au sein de l’équipe 19 Ramenez les compétences au sein de l’équipe
  20. 20. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 20 Partage de la connaissance
  21. 21. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 21 Formez les équipes : un exemple avec l’IoT
  22. 22. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 22 Favorisez la collaboration
  23. 23. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 23 #GoToFail
  24. 24. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Mettez vous à nu 24
  25. 25. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Mettez vous à nu 25
  26. 26. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 26 Partagez votre savoir sur les menaces
  27. 27. THERE IS A BETTER WAY Automatisation 03 27
  28. 28. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 28 Proportion du code de votre application
  29. 29. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 29 Tester les dépendances
  30. 30. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 30 Secure Software Supply Chain Code Gitrob ES Lint
  31. 31. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 31 Secure Software Supply Chain Code Build Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint
  32. 32. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 32 Secure Software Supply Chain Code Build Test ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Continous Integration
  33. 33. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 33 Secure Software Supply Chain Code Build Test Release ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Continous Integration Continous Delivery XRay (Artifactory)
  34. 34. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 34 Secure Software Supply Chain Code Build Test Release Deploy ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Linter for IAC Ansible Molecule Continous Integration Continous Delivery XRay (Artifactory)
  35. 35. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 35 Secure Software Supply Chain Code Build Test Release Deploy Operate ZAP BDD Security Gauntlt Web Inspect Dependency check + SAST : SONAR, Fortify, Checkmarx Gitrob ES Lint Linter for IAC Ansible Molecule Splunk Continous Integration Continous Delivery Continous Deployment (DevOps) XRay (Artifactory)
  36. 36. THERE IS A BETTER WAY Conclusion 04 36
  37. 37. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 37 Former les équipes (dev, ops) à la sécurité applicative
  38. 38. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 38 Former les équipes (dev, ops) à la sécurité applicative Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  39. 39. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 39 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  40. 40. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 40 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  41. 41. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 41 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Faire des tests réels Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  42. 42. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Par où commencer ? 42 Former les équipes (dev, ops) à la sécurité applicative Lier la sécurité aux besoins métiers Automatiser la sécurité, progressivement Faire des tests réels Corréler les données (logs, information sur les menaces) pour agir plus rapidement Renforcer la revue de code avec l’ASVS / pratiquer le pair programming
  43. 43. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable La culture, les hommes et les femmes d’abord Guillaume Oudill, 2017 43
  44. 44. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable Pour aller plus loin ... 44
  45. 45. THERE IS A BETTER WAY La Matinale en images by Tatienne Laplanche 05 45
  46. 46. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 46
  47. 47. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 47
  48. 48. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 48
  49. 49. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 49
  50. 50. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 50
  51. 51. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 51
  52. 52. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 52
  53. 53. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 53
  54. 54. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 54
  55. 55. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 55
  56. 56. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 56
  57. 57. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 57
  58. 58. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 58
  59. 59. OCTO © 2018 - Reproduction interdite sans autorisation écrite préalable 59

×