SANS Institute : Comment l’agilité du DevSecOps peut amener plus de Sécurité à vos développements #étude

L’expansion des applications Web a engendré une autre complication, celle d’une demande croissante de développement et déploiement rapides des applications. Pour répondre à ce besoin, le développement et les opérations ont adopté dès 2008 le mode DevOps pour soutenir une livraison continue des logiciels et s’adapter aux besoins du business.

Aujourd’hui, une même tendance se met en place pour la sécurité pour remplacer l’approche traditionnelle où la sécurité intervient uniquement aux dernières étapes du cycle de développement (SDLC). Un tel accompagnement a aussi l’avantage d’intégrer la sécurité dès le début du projet et ainsi de promouvoir l’approche de Security by design.

Static vs Dynamic Application Testing Across LifeCycle (source SANS Institute 2017)

Static vs Dynamic Application Testing Across LifeCycle (source SANS Institute 2017)

La méthode DevOps devient ainsi du DevSecOps pour le développement de solution de sécurité au sein de l’entreprise et organise une collaboration continue et directe entre les développeurs, les concepteurs d’infrastructure, le personnel des opérations, les responsables métier et bien sûr la sécurité. Inutile de mentionner qu’une telle approche nécessite des changements, au niveau des processus et des outils bien sûr, mais qu’elle doit surtout s’instaurer au niveau de la culture de l’entreprise. Intégrer la sécurité dès le début du projet n’est pas encore une habitude et où l’on préfère attendre la fin pour demander des tests de sécurité. Mieux vaut construire ensemble plutôt que d’arriver à la fin avec une solution mal conçue d’un point de vue sécurité et obligeant à des compromis coûteux de mise en production.

Comparaison des tests d'application en mode statique ou dynamique (source SANS Institute 2017)

Comparaison des tests d’application en mode statique ou dynamique (source SANS Institute 2017)

Le SANS Institute publie justement une étude qui présente les principes du DevSecOps, ses avantages vs inconvénients et différents conseils pour sa mise en oeuvre. Cette étude est en libre accès ici:

https://www.sans.org/reading-room/whitepapers/application/testing-web-apps-dynamic-scanning-development-operations-37820

un petit clic pour ma veille

S'incrire à la newsletter

Inscrivez-vous et recevez la synthèse des nouveaux articles directement dans votre boîte aux lettres.

Merci pour votre inscription !

Un erreur s'est produite. Merci d'essayer à nouveau ou utiliser le formulaire disponible dans la barre latérale du site.

Send this to a friend