1.
DevSecOps

2.
Raphaël HIET Gérald COMPOINT

3.
Collaborateurs
65 000
Présence à l’international
56 Pays
Budget R&D
797 M€
Un chiffre d’affaires équilibré
DÉFENSE 50% CIVIL 50%
Chiffre d’affaires 2017
15,8 Md€
25,8%
49,5%
24,7%
Autres
Etat
Français
Dassault
AviationRépartition actionnariat
au 31 décembre 2017

4.
DEVOPS
DEVSECOPS
1 juin 2008 1 nov. 2012 1 avr. 2017
1 juin 2008 1 nov. 2012 1 avr. 2017

5.
SEC
DEV OPS

6.
SEC
DEV OPS

7.
Atteinte à la VIE
HUMAINE
. . .
ENJEUX DU
SECTEUR
D’ACTIVITÉ

8.
ÉTATS
CONCURRENTS
CYBER-DELINQUANTS
PERSONNEL
INTERNE
EXPOSITION
CAPACITE
LE POUVOIR
DE NUISANCE
GROUPES
CYBERCRIMINELS

9.
Les Pillliers
du DevSecOps

10.
La Gouvernance

11.
SECURITE PAR LA
GOUVERNANCE
PSSI-M

12.
AUTOMATISATION

13.
AUTOMATISATION
ISSUE CODE BUILD TEST DEPLOY OPERATE
Pas
d’alertes
sécurité
Pas de
menaces de
sécurité
majeures
Pentesting
MAINTIEN EN CONDITION DE SECURITE
Pas de
vulnérabilités
critiques
U.S sécurité OK
(code + infra)

14.
650
vulnérabilités
Résultats
d’analyses
Analyse
par
l’expert
4 corr.
Correctifs
prioritaires
700 000
Lignes de
code
Dépôt Code Source
34
majeures
AUTOMATISATION

15.
POUR TOUS,
PAR TOUS

16.
CODING DOJOS,
HACKATHONS
FORMATIONS,
CERTIFICATIONS
POUR TOUS,
PAR TOUS,
ABUSER STORIES
CHALLENGES

17.
LEVEL 3
Etats Tiers
Attaques, Espionnage
LEVEL 2
Attaques Externes pour Profits
LEVEL 1 – Menaces
Employé licencié, Ancien employé
MALWARES, Attaquants, Mauvaise utilisation du S.I
Site Web Compromis, Mauvaise Organisation du S.I
PYRAMIDE
DES RISQUES

18.
Security
empowerment
in teams
Attacker
view
(Red team)
Test
& learn
Collaboration &
coaching
Business risk
Approach
Business
Enabler
Over
Security roadmaps
and plans
Over
Solving
theoretical
vulnerabilities
Over
Central
accountable
security team
Over
“pushing” security
Requirements to
teams
Over
Security policy
compliance
Over
Saying “No”
for security
reasons
Automated
Security
Over
Manual controls
& paperwork
CE QUE NOUS PRÉFÉRONS…

19.
Et la suite ?

20.
DESIGN
THINKING
DesignOps
DEVOPS
SECURITE

21.
REMERCIEMENTS