SDLC dans le contexte Agile et DEVOPS --> Objectif: DEVSECOPS SDLC dans le contexte Agile et DEVOPS

download SDLC dans le contexte Agile et DEVOPS --> Objectif: DEVSECOPS SDLC dans le contexte Agile et DEVOPS

of 28

  • date post

    09-Jul-2020
  • Category

    Documents

  • view

    1
  • download

    1

Embed Size (px)

Transcript of SDLC dans le contexte Agile et DEVOPS --> Objectif: DEVSECOPS SDLC dans le contexte Agile et DEVOPS

  • SDLC dans le contexte Agile et DEVOPS --> Objectif:

    DEVSECOPS

    Par:

    Etienne T. Sadio

    ISACA Québec – Conférences Sécurité des systèmes d'information dès leur conception 05 décembre 2018

  • @Me

    Etienne Sadio Conseiller principal en sécurité de information – In Fidem

    Enseignant au département informatique – Ulaval

    Chercheur au Laboratoire de sécurité informatique (LSI) - Ulaval

    - 2 -

    @moi8407 etienne.sadio@infidem.biz etienne-theodore.sadio@ift.ulaval.ca

    ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne Sadio

    mailto:etienne.sadio@infidem.biz mailto:etienne-theodore.sadio@ift.ulaval.ca

  • Agenda

    • SDLC (Systems development life cycle) et sécurité • SDLC dans un contexte Agile • SDLC + Agile => DevOps • DEVSECOPS: Culture • DEVSECOPS: Comment?

    • Conteneurisation • Transformation de l'espace de développement • Déploiement continu

    • Infrastructure as Code

    • Continuous configuration automation (CCA)

    • Automatisation des tests de sécurité • Mise en place de tests de sécurité en contexte d'intégration continu • Intégration des tests de sécurité au pipeline de livraison

    - 3 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • Cycle de vie des applications

    Proposition Planification Exigences Conception Développement Tests Déploiement Exécution Réformer

    • Quel est notre objectif?

    • À quel moment faut-il intégrer la sécurité?

    Maintenir/Améliorer

    ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne Sadio

    4

  • Améliorer la sécurité tout au long du cycle de vie

    Proposition

    Proposition de sécurité

    Planification

    Planification de sécurité

    Exigences

    Exigences de sécurité

    Conception

    Architecture de sécurité

    Développement

    Programmation. sécurisée

    Tests

    Tests de la sécurité

    Déploiement

    CM de la sécurité

    Exécution

    Surveillance

    Réformer

    Maintenir/Améliorer

    ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne Sadio

    5

  • Agenda

    • SDLC (Systems development life cycle) et sécurité • SDLC dans un contexte Agile • SDLC + Agile => DevOps • DEVSECOPS: Culture • DEVSECOPS: Comment?

    • Conteneurisation • Transformation de l'espace de développement • Déploiement continu

    • Infrastructure as Code

    • Continuous configuration automation (CCA)

    • Automatisation des tests de sécurité • Mise en place de tests de sécurité en contexte d'intégration continu • Intégration des tests de sécurité au pipeline de livraison

    - 6 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • SDLC dans un contexte Agile

    • L’industrie du logiciel a adopté massivement les méthodes Agile,

    • L’agilité a des impactes sur les pratiques de production des applications

    • L’agilité entraine une évolution: • du cycle du développement;

    • des tests;

    • des méthodes de livraison applicative.

    • …

    - 7 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • SDLC dans un contexte Agile

    Product Backlog Sprint planng meeting

    Sprint Backlog

    Product owner Team

    Scrum master réunion quotidienne

    stand-up

    Sprint review

    Sprint rétrospective

    Répartition des tâches

    L’équipe s’engage à traiter autant de

    fonctionnalités de priorité élevée qu’il

    peut être complété à la fin du sprint

    Inputs from: • Les clients, • Équipe, • Manageur, • …

    1-3 week Sprint

    «

    « «Liste priorisée des fonctionnalités requises et des bugs à corriger

    Livraison des fonctionnalités et MAJ de la version

    du produit

    - 8 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • Agenda

    • SDLC (Systems development life cycle) et sécurité • SDLC dans un contexte Agile • SDLC + Agile => DevOps • DEVSECOPS: Culture • DEVSECOPS: Comment?

    • Conteneurisation • Transformation de l'espace de développement • Déploiement continu

    • Infrastructure as Code

    • Continuous configuration automation (CCA)

    • Automatisation des tests de sécurité • Mise en place de tests de sécurité en contexte d'intégration continu • Intégration des tests de sécurité au pipeline de livraison

    - 9 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • SDLC + Agile => DevOps

    Dev Team Ops Team

    DevOps

    Organisation classique

    Dev Team Ops Team

    DevOps Team

    Transformation ou Fusion

    • Transformer l'équipe Dev en une équipe de DevOps • Formation • Responsabilité • Confiance

    • Fusion l'équipe Dev et l'équipe Ops Team pour créer une nouvelle équipe DevOps • Transfert de connaissances interne et progressif • Apprendre les uns des autres • Formation

    - 10 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • SDLC + Agile => DevOps

    - 11 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • Agenda

    • SDLC (Systems development life cycle) et sécurité • SDLC dans un contexte Agile • SDLC + Agile => DevOps • DEVSECOPS: Culture • DEVSECOPS: Comment?

    • Conteneurisation • Transformation de l'espace de développement • Déploiement continu

    • Infrastructure as Code

    • Continuous configuration automation (CCA)

    • Automatisation des tests de sécurité • Mise en place de tests de sécurité en contexte d'intégration continu • Intégration des tests de sécurité au pipeline de livraison

    - 12 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • La Culture DEVSECOPS

    “The purpose and intent of DevSecOps, is to build on the mindset that ‘everyone is responsible for security’ with the goal of safely distributing security decisions at speed and scale to those who hold the highest level of context without sacrificing the safety required.”

    Shannon Lietz

    Source: Hypergrid

    - 13 -

    • DevOps + Security = DevSecOps

    • SecDevOps ou DevSecOps?

    • Pour Nous: SecDevOps = DevSecOps.

    • Mais il faut comprendre: SecDevSecOpsSec

    ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne Sadio

  • La Culture DEVSECOPS

    Architecte de sécurité

    - 14 -

    Product Backlog Sprint planng meeting

    Sprint Backlog

    Product owner Team

    Scrum master réunion quotidienne

    stand-up

    Sprint review

    Sprint rétrospective

    Répartition des tâches

    L’équipe s’engage à traiter autant de

    fonctionnalités de priorité élevée qu’il

    peut être complété à la fin du sprint

    Inputs from: • Les clients, • Équipe, • Manageur, • …

    1-3 week Sprint

    «

    « «Liste priorisée des fonctionnalités requises et des bugs à corriger

    Livraison des fonctionnalités et MAJ de la version

    du produit

    • La sécurité devient une préoccupation partagée.

    • Intégrer un spécialiste « AppSec » pour aider l'équipe.

    La sécurité devient une fonctionnalité

    ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne Sadio

  • Agenda

    • SDLC (Systems development life cycle) et sécurité • SDLC dans un contexte Agile • SDLC + Agile => DevOps • DEVSECOPS: Culture • DEVSECOPS: Comment?

    • Conteneurisation • Transformation de l'espace de développement • Déploiement continu

    • Infrastructure as Code

    • Continuous configuration automation (CCA)

    • Automatisation des tests de sécurité • Mise en place de tests de sécurité en contexte d'intégration continu • Intégration des tests de sécurité au pipeline de livraison

    - 15 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • Transformation

    DEVSECOPS: Comment?

    • Transformation de l’équipe

    DevOps Team

    La sécurité devient une préoccupation partagée..

    DevOps Team

    Intégration d’un expert en sécurité

    Formation

    « L'apprentissage est le travail des développeurs »

    DevSecOps Team

    Integrating security into DevOps to deliver "DevSecOps" requires changing mindsets, processes and technology. Security and risk management leaders must adhere to the collaborative, agile nature of DevOps to be seamless and transparent in the development process, making the Sec in DevSecOps silent.

    Neil MacDonald – Gartner

    - 16 - ISACA Québec – Conférences AppSec - 05 Dec 2018 - Étienne

    Sadio

  • DEVSECOPS: Comment?

    • Adaptez vos outils et processus de test de sécurité aux développeurs, et non l'inverse;

    • Arrêtez d'essayer d'éliminer toutes les vulnérabilités pendant le développeme