Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

devops REX 2018 - Immersion ! La sécurité applicative au cœur du DevOps

255 views

Published on

Talk donné lors de devops REX 2018, la conférence devops 100% retours d'expériences - http://www.devopsrex.fr

Pour accompagner l’accélération d’un monde en constante mutation, à la fois imprévisible et riche d’opportunités, Thales a mis en œuvre une démarche active de transformation, adoptant notamment les méthodologies Agiles/Lean et la culture DevOps. Une grande partie de notre activité portant sur des processus métiers critiques et des données sensibles, nous avons rapidement constaté que la confiance est un impératif à cette transformation, et qu’elle passe en particulier par la cybersécurité.

C’est pourquoi, entre choc culturel et nécessité d’évolution permanente, nous avons construit une culture DevOps, en y intégrant notre savoir-faire informatique et notre expertise en cybersécurité, pour une démarche DevSecOps de bout-en-bout.

Comment déployer du DevSecOps pour des environnements projet multi-sites, multi-clients, ou bien encore dans des contextes contraints où le déploiement de solutions en opération se révèle être une étape critique du projet?

L’objectif de cette session est de partager avec vous ces retours d’expérience et les enseignements de la culture DevOps/DevSecOps.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

devops REX 2018 - Immersion ! La sécurité applicative au cœur du DevOps

  1. 1. DevSecOps
  2. 2. Raphaël HIET Gérald COMPOINT
  3. 3. Collaborateurs 65 000 Présence à l’international 56 Pays Budget R&D 797 M€ Un chiffre d’affaires équilibré DÉFENSE 50% CIVIL 50% Chiffre d’affaires 2017 15,8 Md€ 25,8% 49,5% 24,7% Autres Etat Français Dassault AviationRépartition actionnariat au 31 décembre 2017
  4. 4. DEVOPS DEVSECOPS 1 juin 2008 1 nov. 2012 1 avr. 2017 1 juin 2008 1 nov. 2012 1 avr. 2017
  5. 5. SEC DEV OPS
  6. 6. SEC DEV OPS
  7. 7. Atteinte à la VIE HUMAINE . . . ENJEUX DU SECTEUR D’ACTIVITÉ
  8. 8. ÉTATS CONCURRENTS CYBER-DELINQUANTS PERSONNEL INTERNE EXPOSITION CAPACITE LE POUVOIR DE NUISANCE GROUPES CYBERCRIMINELS
  9. 9. Les Pillliers du DevSecOps
  10. 10. La Gouvernance
  11. 11. SECURITE PAR LA GOUVERNANCE PSSI-M
  12. 12. AUTOMATISATION
  13. 13. AUTOMATISATION ISSUE CODE BUILD TEST DEPLOY OPERATE Pas d’alertes sécurité Pas de menaces de sécurité majeures Pentesting MAINTIEN EN CONDITION DE SECURITE Pas de vulnérabilités critiques U.S sécurité OK (code + infra)
  14. 14. 650 vulnérabilités Résultats d’analyses Analyse par l’expert 4 corr. Correctifs prioritaires 700 000 Lignes de code Dépôt Code Source 34 majeures AUTOMATISATION
  15. 15. POUR TOUS, PAR TOUS
  16. 16. CODING DOJOS, HACKATHONS FORMATIONS, CERTIFICATIONS POUR TOUS, PAR TOUS, ABUSER STORIES CHALLENGES
  17. 17. LEVEL 3 Etats Tiers Attaques, Espionnage LEVEL 2 Attaques Externes pour Profits LEVEL 1 – Menaces Employé licencié, Ancien employé MALWARES, Attaquants, Mauvaise utilisation du S.I Site Web Compromis, Mauvaise Organisation du S.I PYRAMIDE DES RISQUES
  18. 18. Security empowerment in teams Attacker view (Red team) Test & learn Collaboration & coaching Business risk Approach Business Enabler Over Security roadmaps and plans Over Solving theoretical vulnerabilities Over Central accountable security team Over “pushing” security Requirements to teams Over Security policy compliance Over Saying “No” for security reasons Automated Security Over Manual controls & paperwork CE QUE NOUS PRÉFÉRONS…
  19. 19. Et la suite ?
  20. 20. DESIGN THINKING DesignOps DEVOPS SECURITE
  21. 21. REMERCIEMENTS

×