Security and Privacy by Design

Intégrez la sécurité et la protection des données dès la conception de vos applications !

Le dynamisme des communautés open-source et des technologies mobiles amènent de plus en plus d’entreprises à accroître la fréquence des évolutions de leurs applications. Ces changements impliquent souvent de revoir intégralement les processus de conception et de livraison. C’est à cette problématique que répond la méthode, maintenant bien ancrée parmi les équipes : DevOps.

DevOps permet d’automatiser la chaîne de production de la conception à la livraison. Grâce à des outils communs aux équipes de développeurs (Dev) et aux équipes de tests/exploitation (Ops), l’intégration continue (CI) permet des livraisons de code régulières.

Avec l’approche DevSecOps, les équipes en charge de la sécurité interagissent directement et en continue avec les dev et les ops pour veiller à la sécurité des développements et des données et ainsi faciliter le passage en production.  

Avec DevSecOps, les problématiques liées à la sécurité et aux données sont traitées dès la conception : des risques liés aux usages durant l’UX design, aux besoins de sécurité spécifiques des applications en passant par la nature des données traitées (cf. RGPD). Cette approche permet de sécuriser le planning jusqu’à la mise sur le marché et valide une stratégie de sécurité (seuil de tolérance au risque).

Les bénéfices de l’approche DevSecOps sont multiples :

  • les cycles de développement courts et fréquents sont préservés ;
  • la veille de sécurité sur les dépendances applicatives est automatisée (les failles “zero-day” sont une source de risque immédiatement exploitée sur les outils open source) ;
  • les procédures et l’outillage sont harmonisés entre les experts sécurités et le service qualité (du code), ce qui permet de conduire des « mini-audits » sur chaque livraison le nécessitant

Grâce à DevSecOps, la sécurité devient transverse :

  • dans les détails de l’implémentation technique du code ;
  • dans le design des infrastructures et des réseaux ;
  • et même dans les spécifications fonctionnelles, au regard des risques liés aux usages

Cette approche permet une réduction des coûts par rapport au modèle classique d’audits post-développements :

  • les failles de sécurité et bugs étant détectés très en amont, les services applicatifs en production sont moins exposés aux interruptions ;
  • le traitement anticipé évite les modifications ultérieures (architecture, expérience utilisateur) qui peuvent induire des surcoûts et des retards importants dans le bon déroulement du projet

DevSecOps améliore la compréhension technico-fonctionnelle de l’application dans son ensemble par des experts sécurité impliqués dans le projet dès le début, permettant ainsi une meilleure qualité des tests d’intrusion et des audits. Les équipes collaborent de façon plus étroite autour de technologies innovantes que sont les conteneurs, les microservices, etc.