code logiciel sécurisé.jpg

PRODUCTION DE CODES LOGICIELS SÉCURISÉS

 

DevSecOps

L’approche DevOps est une approche qui lie développement (development) et exploitation (operations). Cette liaison entre 'développement' et 'opération' vise à garantir des cycles de développement beaucoup plus rapides. L’approche DevSecOps intègre au sein de cette réflexion l'aspect 'sécurité'.

En effet, si pendant longtemps les tests de sécurité étaient réalisés en fin de processus, il est aujourd’hui primordial d’intégrer ces aspects dès la conception, et tout au long du développement d’un produit numérique, afin de garantir un niveau de sécurité élevé, tout en minimisant l’impact sur le budget et le planning de développement de la solution.

Dans ce cadre, CyberSecura sensibilise les équipes techniques et managériales à l’intérêt d’une démarche DevSecOps, aide au choix et à l’installation d’outils permettant la pratique DevSecOps et forme les équipes de développement à ces pratiques de développement.

 

Volume de travail : sur devis (en fonction de l'entreprise, du projet et de la taille des équipes de développement).

 

Pratiques SDL

La pratique SDL (ou Security Development Lifecycle) est une pratique holistique, visant à intégrer la sécurité dans le quotidien de développement d’un projet.

La pratique SDL constitue une série de processus et de procédures visant à garantir la sécurité d’une application ou d’un produit, en intégrant les mesures de sécurité dès la phase de design et de conception. Cette approche permet de réduire considérablement les vulnérabilité et donc les risques pour le produit, mais elle permet également de réduire des coûts d'une réponse en cas d'attaque, dans la mesure où cette pratique prévoit la conception d'un plan de réponse aux incidents. 

 

L’approche SDL se découpe en 7 phases : 

  • Formation en continue, tout au long du projet.

  • Définition des besoins et des fonctionnalités de sécurité nécessaires.

  • Phase de design du produit, afin de visualiser l’architecture du produit, et les aspects à sécuriser. Lors de cette phase de design, une analyse de la surface d'attaque est réalisée afin de mieux définir les exigences de sécurité.

  • La phase de coding vise à créer un code logiciel sécurisé et efficace, en mettant en place des bonnes pratiques, et grâce à l'utilisation d'outils approuvés (i.e. state of the art).

  • La phase de test permet aux équipes techniques de tester la sécurité globale du système créé et les fonctionnalités dédiées à la sécurité et à la protection des données.

  • Après avoir testé le système, les équipes techniques de développement et de sécurité réalisent un vote de "go" ou "no go" : si le système a toujours des vulnérabilités importantes, on repart alors en phase de design. Si le système n'a que des vulnérabilités acceptables, il peut alors être commercialisé. Cette phase constitue donc une vérification primordiale avant la mise sur le marché d'un produit, et elle doit être réalisée avec un expert de sécurité. 

  • La phase de monitoring et de mise à jour du produit a pour objectif de monitorer en continue toutes les failles du système en production. Si des vulnérabilités sont détectées, il est alors nécessaire de fournir et d'appliquer des mises à jour et des patching.

 

Volume de travail : sur devis (en fonction de l'entreprise, du projet et de la taille des équipes de développement).

pratiques SDL.png

Vous avez des questions, des suggestions ? Vous souhaitez discuter de vos enjeux ?
Demandez à être contacté par l'un de nos expert !