Blog · DevSecOps
Principes d'organisation du DevSecOps
Article publié dans MISC Magazine N°122
← Retour au blogBlog · DevSecOps
Article publié dans MISC Magazine N°122
← Retour au blogUn SDLC maison pour organiser le DevSecOps, du Bugs Bar au test d'intrusion.
Jérôme THÉMÉE & Alain MENELET — ESD Cybersecurity Academy
Le DevSecOps est au cœur d'une révolution sur notre manière d'aborder le management de la sécurité de l'information face aux nouvelles technologies. Son succès commence par une organisation bien pensée.
Le DevOps a révolutionné la manière de concevoir l'ingénierie informatique en apportant de nouveaux concepts. Si le but du DevOps est de produire plus rapidement au meilleur coût, il est nécessaire d'y ajouter un aspect sécurité. C'est dans ce contexte que le DevSecOps trouve ses origines. Cet article propose de démystifier ce modèle et d'apporter du concret pour toutes les organisations qui voudraient intégrer un modèle DevSecOps.
Le DevSecOps est devenu incontournable pour les managers de la sécurité. Loin du modèle « château fort », il faut livrer vite, de manière agile, sans oublier la sécurité. L'article explique comment les managers doivent aligner une stratégie adaptée en intégrant les analyses de risques, la conception sécurisée par défaut et le suivi des indicateurs dans ce nouveau paradigme.
Le cycle de développement sécurisé (Software Development Life Cycle) offre un cadre permettant au DevSecOps d'appréhender les approches par le risque ou par conformité. L'article propose de créer un « SMSI dans le SMSI » via un SDLC maison, en s'inspirant du SDL de Microsoft et des recommandations OWASP.
Microsoft a adapté l'identification des objectifs de sécurité au SDLC avec le « Bugs Bar ». Au lieu des critères DIC classiques, on utilise le modèle STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) pour une vision plus microscopique axée sur la menace. L'avantage est double : un langage adapté aux profils techniques et des événements redoutés plus granulaires.
Une fois l'approche par les risques intégrée, l'article recommande d'ajouter un socle de sécurité via l'OWASP ASVS (Application Security Verification Standard). Ce référentiel propose des mesures de sécurité regroupées par trois niveaux de criticité, téléchargeable au format CSV pour créer un tableau d'alignement et auditer ses applications.
L'article détaille l'intégration d'outils d'audit automatisés. Le SAST (Static Analysis Security Testing) vérifie la sécurité du code avant la mise en production. Le DAST (Dynamic Analysis Security Testing), comme OWASP ZAP, simule des attaques en temps réel. Microsoft estime qu'une vulnérabilité trouvée dans le code coûte 100 fois moins cher que celle découverte par un pentest.
Les 5 phases du SDLC proposé
Préparer le SDLC
Budget, équipe, formation
Besoins de sécurité
Bugs Bar, STRIDE
Modélisation des menaces
Threat Modeling
Conformité & outils
ASVS, SAST, DAST
Vérifier & anticiper
Pentest, réponse incident
Pour une lecture complète et approfondie, incluant le détail du Bugs Bar avec les scénarios STRIDE, la matrice des risques, les exemples de configuration du Microsoft Threat Modeling Tool et les références complètes, nous vous invitons à consulter la version originale.
Article initialement publié dans MISC Magazine N°122 (Juillet/Août 2022).
De nombreux référentiels existent permettant à tout à chacun de s'organiser au mieux. L'essentiel est de comprendre que le DevSecOps réutilise les mêmes concepts que la sécurité classique (analyse de risques, conformité, amélioration continue) mais adaptés au monde agile et au cycle de développement.
Références :
[1] J.Thémée, « Sécurité informatique sur le Web », ENI, 2017
[2] EBIOS RISK MANAGER — ssi.gouv.fr
[3] STRIDE — owasp.org
Nos formations couvrent la gouvernance, l'analyse de risques, le SDLC et les outils DevSecOps.
Comment structurer un programme de formation en cybersécurité, de la stratégie à l'ancrage culturel.
Guide sur la modélisation des menaces : STRIDE, Microsoft Threat Modeling Tool, cas pratique migration cloud.