Cyber-sécurité et le besoin de formation.

Et la sécurité dans le développement applicatif ?

La sécurité des applications est depuis des années un sujet de crispation, un frein du point de vue des équipes développement, et un sujet qui est non adressé pour les professionnels de la sécurité. Ainsi, cela provoque de sérieuses conséquences pour une économie numérique où la confiance est le maître-mot.

October 16, 2018by adidionxlm

Et la sécurité dans le développement applicatif ?

October 16, 2018by adidionxlm

On pensait avoir adressé pour partie la problématique de la sécurité des développements applicatifs au travers de différentes initiatives ou technologies. Bien sûr les résultats peinent encore à être à la hauteur des besoins. Néanmoins, d’après les spécialistes du marché de la sécurité, la prise de conscience semble être enfin là.

Développement agile, Intégration continue, «Code as a service»,… Toute une série de concepts qui visent à fluidifier la production de code informatique au sein des organisations est apparue!

Le but est louable, rendre l’informatique plus agile, permettre à l’organisation d’être encore plus réactive aux besoins de ses clients.

Ainsi, on évoque avec plaisir la capacité d’Amazon Market Place de pouvoir publier de nouvelles fonctionnalités toutes les 2 secondes, en revanche, un peu moins la capacité de Facebook «à offrir» l’accès aux données de 50 millions d’utilisateurs.

Bien sûr, les concepts de DevOps ne sont pas responsables de tous les maux, mais les considérations de sécurité et de vie privée se retrouvent dans ces environnements très souvent sous-estimées… jusqu’à l’incident cyber!

De quoi parle-t-on? DevOps en quelques mots:

Le DevOps définit une approche réunissant deux fonctions-clés de l’organisation informatique en charge du développement d’applications. D’un côté, le «Dev», désignant les équipes de développement, et de l’autre, l’«Ops», désignant les équipes d’exploitation opérationnelles.

Les services métiers, le développement, les opérations et le service testing collaborent pour déployer en continu les différentes fonctionnalités d’une application. Ils sont basés sur des concepts issus de la méthode agile et du lean management. L’objectif étant de s’adapter aux opportunités du marché et aux retours clients dans une économie digitale en devenir.

Traditionnellement, une équipe de développement se charge de collecter les besoins métiers et de les développer, puis elle teste ensuite le logiciel ou l’application lorsqu’elle est finalisée. Ensuite, le code source est mis à disposition des équipes opérationnelles pour la partie mise en production et exploitation.

Le monde de l’informatique évolue toujours aussi vite et il faut sans cesse s’adapter. Que ce soit pour développer un logiciel ou une application web, il faut qu’ils soient mis sur le marché le plus rapidement possible. Toutes nouvelles fonctionnalités ou mises à jour doivent être déployées sans problème, et s’il y a des bugs, il faut pouvoir les corriger. L’équipe opération doit aussi savoir s’adapter rapidement dans la surveillance et le déploiement de ces nouvelles applications ou logiciels. Ainsi, l’association du «Dev» et de l’«Ops» est une collaboration étroite nécessaire!

Mais patatras! Qu’en est-il de la sécurité?

Il aura fallu de nombreuses années pour obtenir au niveau opération un niveau de sécurité acceptable des couches infrastructures hébergeant les applications, et surtout en ligne avec la menace. Encore plus d’efforts sont nécessaires pour sensibiliser les équipes de développement à la prise en compte de la sécurité dans leurs applications. Le niveau n’est pas encore là, comme l’atteste le classement régulier de l’OWASP Top10 (celui-ci dresse le bilan des vulnérabilités au niveau des applications Web). Mais l’intention est là: les technologies apportent des réponses, les formations se développent, le public s’intéresse.

En effet, avec DevOps, les cartes sont rebattues, les domaines de compétence moins définis, et surtout, DevOps implique des décisions agiles.

On représente le DevOps comme un cycle de vie où l’on passe d’une phase projet à une phase de monitoring. Dès que cette phase est terminée, un nouveau cycle démarre.

Outre le besoin d’intégrer encore plus les aspects sécurité dans les couches infrastructures et développement, il est important que l’intégration soit prise en compte dès le design des principes de sécurité et données personnelles.

DevOps amène de plus toute une série de nouveaux concepts technologiques au niveau opération qui challengent les équipes: virtualisation, micro-segmentation, container, Docker, orchestration,… Cette complexité technologique crée des vecteurs de vulnérabilité.

Dans son récent document sur la sécurité des Containers publié en août 2018, Gartner liste les différents vecteurs de menaces pour les environnements de ce type:

Les environnements de développement
Les Repository Git-Based
Les Registres des Images
La Plateforme d’orchestration non sécurisée
Les relations entre Host et Containers
La rapidité des changements
La segmentation réseau
…

Vous l’aurez compris, encore des années d’éducation, d’accompagnement et d’attention afin que la société numérique de la confiance devienne une réalité!

Si le sujet vous intéresse, n’hésitez pas à nous rejoindre lors de notre matinée sécurité le 6 novembre 2018, ou lors de notre prochaine session de la Code Hackademy en contactant University@excellium-services.com!

Cookie	Duration	Description
CLID	1 year	Microsoft Clarity set this cookie to store information about how visitors interact with the website. The cookie helps to provide an analysis report. The data collection includes the number of visitors, where they visit the website, and the pages visited.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
MR	7 days	This cookie, set by Bing, is used to collect user information for analytics purposes.
SM	session	Microsoft Clarity cookie set this cookie for synchronizing the MUID across Microsoft domains.
_clck	1 year	Microsoft Clarity sets this cookie to retain the browser's Clarity User ID and settings exclusive to that website. This guarantees that actions taken during subsequent visits to the same website will be linked to the same user ID.
_clsk	1 day	Microsoft Clarity sets this cookie to store and consolidate a user's pageviews into a single session recording.

Cookie	Duration	Description
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

About us

Career Opportunities

Get in Touch

About us

Career Opportunities

Get in Touch

Et la sécurité dans le développement applicatif ?

Et la sécurité dans le développement applicatif ?

De quoi parle-t-on? DevOps en quelques mots:

Mais patatras! Qu’en est-il de la sécurité?

Let's deliver the right solution for your business