Et la sécurité dans le développement applicatif?

10 Octobre 2018 Par Excellium
Crédit Photo: Excellium

La sécurité des applications est depuis des années un sujet de crispation, un frein du point de vue des équipes développement, et un sujet qui est non adressé pour les professionnels de la sécurité. Ainsi, cela provoque de sérieuses conséquences pour une économie numérique où la confiance est le maître-mot.

On pensait avoir adressé pour partie la problématique de la sécurité des développements applicatifs au travers de différentes initiatives ou technologies. Bien sûr les résultats peinent encore à être à la hauteur des besoins. Néanmoins, d’après les spécialistes du marché de la sécurité, la prise de conscience semble être enfin là.

Développement agile, Intégration continue, «Code as a service»,… Toute une série de concepts qui visent à fluidifier la production de code informatique au sein des organisations est apparue!

Le but est louable, rendre l’informatique plus agile, permettre à l’organisation d’être encore plus réactive aux besoins de ses clients.

Ainsi, on évoque avec plaisir la capacité d’Amazon Market Place de pouvoir publier de nouvelles fonctionnalités toutes les 2 secondes, en revanche, un peu moins la capacité de Facebook «à offrir» l’accès aux données de 50 millions d’utilisateurs.

Bien sûr, les concepts de DevOps ne sont pas responsables de tous les maux, mais les considérations de sécurité et de vie privée se retrouvent dans ces environnements très souvent sous-estimées… jusqu’à l’incident cyber!

De quoi parle-t-on? DevOps en quelques mots:

Le DevOps définit une approche réunissant deux fonctions-clés de l’organisation informatique en charge du développement d’applications. D’un côté, le «Dev», désignant les équipes de développement, et de l’autre, l’«Ops», désignant les équipes d’exploitation opérationnelles. 

Les services métiers, le développement, les opérations et le service testing collaborent pour déployer en continu les différentes fonctionnalités d’une application. Ils sont basés sur des concepts issus de la méthode agile et du lean management. L’objectif étant de s’adapter aux opportunités du marché et aux retours clients dans une économie digitale en devenir.

Traditionnellement, une équipe de développement se charge de collecter les besoins métiers et de les développer, puis elle teste ensuite le logiciel ou l’application lorsqu’elle est finalisée. Ensuite, le code source est mis à disposition des équipes opérationnelles pour la partie mise en production et exploitation.

Le monde de l’informatique évolue toujours aussi vite et il faut sans cesse s’adapter. Que ce soit pour développer un logiciel ou une application web, il faut qu’ils soient mis sur le marché le plus rapidement possible. Toutes nouvelles fonctionnalités ou mises à jour doivent être déployées sans problème, et s’il y a des bugs, il faut pouvoir les corriger. L’équipe opération doit aussi savoir s’adapter rapidement dans la surveillance et le déploiement de ces nouvelles applications ou logiciels. Ainsi, l’association du «Dev» et de l’«Ops» est une collaboration étroite nécessaire!

Mais patatras! Qu’en est-il de la sécurité?

Il aura fallu de nombreuses années pour obtenir au niveau opération un niveau de sécurité acceptable des couches infrastructures hébergeant les applications, et surtout en ligne avec la menace. Encore plus d’efforts sont nécessaires pour sensibiliser les équipes de développement à la prise en compte de la sécurité dans leurs applications. Le niveau n’est pas encore là, comme l’atteste le classement régulier de l’OWASP Top10 (celui-ci dresse le bilan des vulnérabilités au niveau des applications Web). Mais l’intention est là: les technologies apportent des réponses, les formations se développent, le public s’intéresse.

En effet, avec DevOps, les cartes sont rebattues, les domaines de compétence moins définis, et surtout, DevOps implique des décisions agiles.

On représente le DevOps comme un cycle de vie où l’on passe d’une phase projet à une phase de monitoring. Dès que cette phase est terminée, un nouveau cycle démarre.

Outre le besoin d’intégrer encore plus les aspects sécurité dans les couches infrastructures et développement, il est important que l’intégration soit prise en compte dès le design des principes de sécurité et données personnelles.

DevOps amène de plus toute une série de nouveaux concepts technologiques au niveau opération qui challengent les équipes: virtualisation, micro-segmentation, container, Docker, orchestration,… Cette complexité technologique crée des vecteurs de vulnérabilité.

Dans son récent document sur la sécurité des Containers publié en août 2018, Gartner liste les différents vecteurs de menaces pour les environnements de ce type:

  • Les environnements de développement
  • Les Repository Git-Based
  • Les Registres des Images
  • La Plateforme d’orchestration non sécurisée
  • Les relations entre Host et Containers
  • La rapidité des changements
  • La segmentation réseau
  • ...

 

Vous l’aurez compris, encore des années d’éducation, d’accompagnement et d’attention afin que la société numérique de la confiance devienne une réalité!

 

Si le sujet vous intéresse, n’hésitez pas à nous rejoindre lors de notre matinée sécurité le 6 novembre 2018, ou lors de notre prochaine session de la Code Hackademy en contactant [email protected]!

 

Retrouvez toute l’actualité Cybersecurity Corner

La rédaction a choisi pour vous

19 Octobre 2018

Le mercredi 17 octobre, le Paperjam Club a organisé le 10x6: Les architectes luxembourgeois qui s’exportent, au cours duquel les orateurs ont été invités à préalablement présenter leur projet face caméra en… 6 secondes!