DIGITAL SOLUTIONS

Intégrer la sécurité dans l’approche DevOps

Au cœur de la cybersecurity week, qui se tiendra du 16 au 21 octobre 2017, Excellium propose un événement dédié au SecDevOps.

October 5, 2017

Au cœur de la cybersecurity week, qui se tiendra du 16 au 21 octobre 2017, Excellium propose un événement dédié au SecDevOps. Durant toute la journée du 20 octobre, à Mondorf, la société de services informatiques et ses nombreux partenaires évoqueront l’intégration des enjeux de la sécurité applicative dans le cadre d’approches agiles, au service du développement et du déploiement continus. – Par Sébastien Lambotte

« Dans l’économie digitale actuelle, les cycles de développement informatiques sont beaucoup plus courts. On préfère déployer plus régulièrement des petites fonctionnalités, plutôt que de gros projets risqués. Les approches agiles et, plus encore, DevOps permettent aux entreprises d’être plus réactives, de mieux coller aux attentes du marché, de se démarquer davantage de leurs concurrents, commente Dominique Righetto, en charge de le la pratique « Application Security » au sein d’Excellium Services. Les mesures de sécurité, au même titre que les tests de qualité, doivent être intégrés dans les cycles de développement et de déploiement. Il est essentiel, en étant plus agiles, de pouvoir garantir la qualité du code et l’intégrité des systèmes. »

Le code, un investissement clé

Il n’y a pas si longtemps, c’était souvent après les étapes du développement qu’une équipe procédait à des tests d’intrusion, afin d’évaluer la sécurité du système. Aujourd’hui, les acteurs économiques ne peuvent plus se permettre d’attendre ou, pire, de voir leurs investissements dans le développement mis à mal par des failles détectées une fois le travail terminé. « Le code est un asset essentiel de l’économie digitale. Il sert à créer de la valeur. L’enjeu est qu’il reste le moins longtemps possible immobilisé. La sécurité envisagée en bout de chaîne ne permet plus de répondre aux exigences de qualité et de réactivité actuelles. Retarder la mise en production à cause d’une faille, avec les coûts supplémentaires qu’entrainent des mesures de correction, est susceptible de faire perdre tout avantage concurrentiel à l’entreprise », poursuit Dominique Righetto.

Il faut donc intégrer la sécurité au cœur du processus de développement avec la mise en place d’une approche SecDevOps. « Quand le DevOps fait converger le développement et l’opération, le SecDevOps y intègre une dimension sécurité indispensable. On casse les silos, pour mieux faire travailler ensemble des équipes qui, hier, travaillaient chacune de leur côté, les unes après les autres, poursuit le spécialiste en sécurité applicative. Désormais, tous contribuent à un même projet, avec la volonté commune de garantir fonctionnalité et sécurité des développements. »

Découvrez le SecDevOps

Le concept de SecDevOps et sa mise en œuvre à l’échelle d’un projet sont les thèmes qui seront largement évoqués le vendredi 20 octobre prochain, lors d’une journée événement proposée par Excellium et ses partenaires dans le cadre de la Luxembourg Security Week (du 16 au 21 octobre). « Ce travail d’équipe est indispensable à la mise en œuvre d’une approche Security by Design. Sur l’ensemble de la chaîne, des équipes pluridisciplinaires permettent d’aligner les contraintes et objectifs poursuivis par chacun, en matière de développement, de déploiement, de gestion opérationnelle et de sécurité, poursuit Dominique Righetto. Il faut pouvoir mettre en place des équipes ainsi que des environnements adaptés, afin de s’assurer de la qualité et du niveau de sécurité des projets délivrés. »

S’appuyer sur un partenaire externe

Les membres de ces équipes pluridisciplinaires doivent faire preuve d’ouverture, être curieux et rigoureux, en mesure de comprendre les métiers des autres. Ce sont évidemment des profils rares et difficiles à trouver. Pour pallier cette difficulté, des services innovants voient le jour. Par exemple, Excellium a mis en place une équipe dédiée comptant des professionnels du développement et des spécialiste en sécurité applicative. « Cette équipe, mutualisée, permet à nos clients d’accéder à une offre Security as a Service, qui s’intègre à l’usine logicielle des clients, autrement dit à leur cycle de développement et de déploiement. Les équipes, chez le client, sont connectées avec nous, pour disposer d’une analyse réactive du code et des recommandations adaptées en cas de faille décelée, précise le consultant en sécurité applicative. Le client accède à un partenaire de proximité, qui partage ses objectifs et ses contraintes de manière pragmatique. Il accède dès lors à ces compétences rares, indispensable à la mise en œuvre d’une approche SecDevOps efficiente. »

Ce service comme d’autres solutions pouvant soutenir les acteurs économiques dans leur transformation digitale et le renforcement de leur sécurité seront évoqués lors de cette journée exceptionnelle du 20 octobre.

Watch video

In the same category