Le DevSecOps en action : 3 expériences réussies dans les grands groupes

Une meilleure intégration de la sécurité dans les projets DevOps : alors que les cybermenaces visant les entreprises ne cessent d’augmenter, l’idée ne peut qu’emporter l’adhésion. Mais qu’en est-il de son application concrète au sein des équipes IT ? Trois cas d’écoles qui plaident pour l’adoption du DevSecOps à grande échelle.

La sécurisation du codage et des composants open source

Les équipes IT de la banque ABN Amro gèrent simultanément plusieurs canaux d'intégration et de distribution continues (CI/CD) lors du développement de leurs applications. Pour éviter de multiplier les vulnérabilités, elles intègrent davantage de sécurité à leurs pratiques grâce au DevSecOps. Leur priorité a été de sécuriser le codage mais également les bibliothèques open source, en supprimant les dépendances à des composants qui ne seraient pas mis à jour et qui augmentent les menaces cyber. Des standards d’intégration continue ont donc été instaurés à travers une politique open source dédiée. Cela passe notamment par la mise en place de « build breakers », qui viennent bloquer les serveurs d’intégration si un développeur utilise le composant d’une bibliothèque open source non sécurisée. Enfin, des outils de scan et de test des applications ont été implémentés sur chaque canal de développement. Des séances de formation et de sensibilisation pour les développeurs viennent compléter ce dispositif. Prochaine étape pour ABN Amro : créer une interface regroupant les métriques CI/CD pour visualiser les enjeux de sécurité, à la fois lors du développement et de la mise en production.

Un tableau de bord pour mieux identifier les vulnérabilités

L’équipe IT « AppSec » du géant des télécommunications Verizon souhaite sécuriser ses projets DevOps basés dans le Cloud. Elle sait combien la sensibilisation des développeurs est essentielle. Pour les convaincre des bienfaits du DevSecOps, l’équipe déploie un programme dédié à l’analyse des vulnérabilités dans les applications du Groupe. L'outil principal de ce programme est un tableau de bord partagé qui centralise les données sur les vulnérabilités ayant touché plus de 2 000 applications. Chaque information (type, intensité et fréquence des failles, étape de développement auquel l’anomalie apparaît) provient des outils de cybersécurité mis en place en interne (analyse de code, pare-feu, etc). Le tableau de bord permet donc aux développeurs de mieux comprendre comment les vulnérabilités apparaissent, renforçant leur savoir et leur capacité de détection. Il leur fait également prendre conscience de leur responsabilité quotidienne dans l’instauration d’une véritable culture de la sécurité au sein du Groupe.

Des cycles de développement accélérés

Thales Alena Space est une joint-venture spécialisée dans l’aéronautique et les satellites, où les équipements informatiques sont de plus en plus performants. Les centres de contrôle au sol de Thales Alena Space recourent par ailleurs au cloud hybride pour héberger une quantité croissante de données. Cette transformation s’est doublée d’une réorganisation du travail des équipes informatiques. Celles-ci développent pour leurs clients des applications reposant sur une architecture de micro-services, afin de gagner en agilité et d’assurer un déploiement en continu. Ces cycles de développement et de livraison raccourcis permettent aux utilisateurs finaux de disposer de nouveaux services beaucoup plus rapidement. Afin de sécuriser les livraisons tout en accélérant les cycles de développement, Thales Alena Space privilégie l’approche DevSecOps. En plaçant la sécurité à chaque étape du développement, elle évite ainsi d’importantes corrections en aval, réduisant ainsi le délai de mise sur le marché. Les livraisons fréquentes facilitent aussi l’interaction avec le client ; les équipes de Thales Alena Space reçoivent des retours immédiats et sont forces de proposition, cultivant ainsi une relation de proximité.