La sécurité dans la culture DevOps, outre le sujet qui déchaine les passions du moment, est un véritable outil au service de la confiance numérique.
Avec des outils existants, une approche pragmatique, du bon sens, et l’implication de l’humain dans toutes les étapes du process, la sécurité au coeur du DevOps deviendra un allié producteur de valeur ajoutée et générateur d’un avantage concurrentiel.
En ce mois de juin, une vingtaine de personnes réunies par Hexatrust au coeur de l’espace lounge chez BPIFrance a échangé sur cette thématique dans une ambiance conviviale et informelle.
Utilisateurs finaux, grands groupes, PME et opérateurs sensibles étaient réunis lors de la première édition de l’Hexaclub pour partager leur approche de la culture DevOps et de la place accordée à la sécurité.
Parmi les grandes questions évoquées, la combinaison agilité, facilité, temps courts et coûts maîtrisés ; comment accompagner les nouveaux usages tout en sensibilisant à la sécurité ? Comment connaître le niveau de sécurité des applications publiques installées sur les terminaux mobiles ? Comment parvenir à sensibiliser les métiers aux problématiques de sécurité ? Comment obtenir les budgets nécessaires à une bonne analyse de sécurité pour ces nouvelles évolutions du système d’information ?
L’impact du RGPD
L’impact du Règlement Européen de la Protection de la donnée, le RGPD qui entrera en vigueur le 25 mai prochain a suscité toutes les attentions, dès le début des échanges. Incontestablement, à l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD implique des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées. Privacy by design, by default, accountability, de nouveaux et beaux concepts qui signifient aussi qu’il va falloir faire un gros travail de recensement des traitements, d’évaluation des risques, d’identification des modifications à apporter aux applications. « La gestion du consentement notamment, va demander de repenser le design des applications, pour que l’expérience utilisateur soit conforme mais aussi pour que les données soient isolées, protégées, modifiables en cas de besoin. Il va falloir définir quelles données peuvent être collectées ?, comment structurer les bases de données pour répondre aux nouveaux droits des utilisateurs ?, notamment le droit à l’effacement et à la modification. » a souligné Jacques Sébag, Directeur Général de Denyall.
L’impact sous-jacent va également toucher les méthodes de développement pour y intégrer deux notions : le respect la vie privée et la sécurité des applications. « Les équipes qui fonctionnent en mode agile doivent inviter leurs collègues de la sécurité à contribuer dès le design des applications, pour que la sécurité ne soit pas une réflexion secondaire, après coup, et que DevOps se transforme en DevSecOps. » poursuit-il. Ces équipes doivent intégrer les outils de sécurité des données et des applications dans leur processus. « Il va falloir authentifier les utilisateurs des applications de traitement et s’assurer que leurs usages sont conformes. Il faudra utiliser le chiffrement des données et des flux à bon escient. Enfin, un gros effort devra être fait dans la plupart des entreprises pour être capable de détecter les problèmes afin d’être en mesure d’alerter les autorités de contrôle, voire les utilisateurs. » ajoute t-il.
Un constat partagé avec les représentants du monde bancaire et de l’univers de la santé présents lors des échanges soulignant « que malgré une prise de conscience, une volonté affirmée et des travaux initiés il y a plus d’un an déjà, le chantier est gigantesque et le chemin à parcourir encore très important… »
L’interopérabilité des solutions signée comme un appel à voeu n’est pas passé inaperçu « une interopérabilité et des approches agiles sont nécessaires pour aborder nos problèmes, notre mise en conformité et nos contraintes. Nous parlons non pas de réparer la maison, mais de la reconstruire. Le chantier est colossal et même dans les grandes maisons, où les budgets sont conséquents, ils ne sont pas extensibles à l’infini. »
L’occasion de revenir sur les outils et des technologies, telle que la pseudonymisation des données, une approche hautement recommandée pour en assurer la confidentialité, ou encore le chiffrement, certes nécessaires mais qui vont impacter les budgets des entreprises et des administrations…
Un intérêt fort et une attente nette ont clairement émergé en faveur d’une structuration des échanges et des offres de sécurité, afin d’accompagner cette sécurité numérique dans un environnement agile avec pertinence et efficacité. « Un travail en partenariat permettra d’identifier les points critiques, d’aller plus vite à l’essentiel. » ajoute Jacques Sébag.
La conformité au RGPD ne se fera pas du jour au lendemain. Il faudra procéder par étape, de manière régulière et dès la conception des applications. En attendant que les équipes DevOps deviennent de véritables équipes DevSecOps, les organisations peuvent tirer parti de la technologie existante pour améliorer la sécurité des applications et les données qu’elles servent. « Grâce à ces outils, elles pourront transformer la conformité au RGPD en un avantage concurrentiel. » ajoute le DG de Denyall.
Et le cloud dans tout ça ?
Le cloud semble être un support intéressant pour le DevOps. Mais la question de la sécurisation du code devient de fait une problématique importante.
Récemment, Veolia a annoncé être le seul groupe du CAC 40, datacenter less. Une stratégie qui va certainement faire des émules mais qui ne fait pour l’heure pas tout à fait consensus. Frédéric Arnal, responsable Mission Agilité & Devops chez Voyages-Sncf.com a en effet partagé son approche très poussée du DevOps et de la sécurité au cœur de son organisation tout en précisant « sa frilosité face au Cloud… »
« Les utilisateurs présentent une demande très forte en matière de cloud sécurisé. Si le concept du cloud remplit en effet ses promesses en termes de souplesse et de coût de stockage des données, toutes les solutions ne se valent pas. C’est ce qu’ont appris à leurs dépens plusieurs entreprises dont Ashley Madison qui a vu les données de 33 millions de ses comptes utilisateurs – qui comportaient parfois des informations très sensibles – ainsi que nombre de documents confidentiels partir dans la nature. En matière de sécurité parmi les éditeurs de logiciels très peu finalement présentent une certification de sécurité délivrée par un organisme indépendant, destiné à garantir le niveau de sécurité prétendu et donc la protection des accès et des transferts. » expliquait Laurent Theringaud, Responsable ligne de Produit Sécurité chez Ercom.
L’occasion d’évoquer Cryptobox, une solution de partage de données sécurisées capable de répondre aux exigences et besoins des utilisateurs, bien connue des membres de plusieurs ministères présents…
« Collaborative, cette solution se veut simple et s’adapte à tous les types d’hébergement de données : dans le cloud, en local ou de façon hybride. La sécurité omniprésente mais transparente permet de bénéficier de tous les avantages du cloud avec une vraie garantie de confidentialité de ses données clés. » ajouta Laurent Théringaud.
Sécuriser les applications mobiles et terminaux
Les applications développées par l’entreprise et ayant des accès au système d’information cohabitent sur des terminaux avec des applications tierces qui envoient des données dans le cloud. Le risque de fuite de données est donc bien réel. En outre, la pression métiers ou marketing sur les développeurs est désormais très forte. « Nous devons mettre en place des cycles de développement très courts. » souligne Frédéric Arnal.
Un double défi se pose donc : parvenir à ce que le DSI soit identifié comme un partenaire à part entière des équipes digitales et non pas comme un frein, et qu’il soit à même de s’adapter aux cycles courts tout en maintenant un niveau de sécurité adapté aux enjeux.
L’identification pose souvent problème aux métiers qui ne veulent pas imposer des formalités trop lourdes « l’utilisateur attend une expérience facile et ne souhaite pas saisir des mots de passe complexes, ou faire appel à des mécanismes lourds pour pouvoir utiliser les Apps. » souligne un participant. Il faut donc avancer vers un IAM (Identity and Access Management) et s’orienter vers un pilotage par les risques prenant en compte l’analyse du comportement utilisateur, la revue des contenus des stores et l’utilisation d’un référentiel des données sensibles.
« Si on prend le cas de la banque, les applications mobiles permettent à nos clients de suivre leur situation financière. La multiplication des terminaux mobiles modifie profondément l’écosystème du système d’information. »
L’utilisation massive des smartphones implique en effet un stockage de données, parfois sensibles dans les appareils connectés au SI de l’entreprise : une porte dérobée pour les hackers.
Alors comment se protéger tout en respectant agilité et fluidité, et en intégrant le fait que les utilisateurs ne veuillent pas de contraintes et que parallèlement les métiers demandent de plus en plus d’applications mobiles ? Equation complexe…
« Il faut effectuer un diagnostic du niveau de sécurité de ses applications pour identifier leurs vulnérabilités et comportements cachés, et ainsi, savoir si elles sont conformes ou non. La première étape passe par la réalisation d’un audit. Il s’agit de déterminer comment l’entreprise protège et traite les données personnelles actuellement, de déterminer si cela correspond au RGPD et si ce n’est pas le cas, d’élaborer un plan d’actions vers la conformité.
Par ailleurs, la protection des données dès la conception constitue un des aspects les plus importants du nouveau RGPD. En contexte de développement d’applications, inclure la sécurité et la confidentialité dès les premiers stades de développement s’impose comme une « best practice ». Utiliser des services de test de sécurité qui s’intègre aux plateformes de développement permettra aux développeurs d’auditer les niveaux de sécurité de leurs applications tout au long du processus de développement. Enfin, s’intéresser au terminal mobile du consommateur est essentiel. Il est en effet le maillon faible de la sécurité. Au titre de « best practice », le concept de sécurité « In-App », déployé via un SDK ou une API, intégré dans le code des applications, va s’imposer, pour que chaque application soit autonome dans la gestion de sa propre sécurité, dès lors qu’elle s’exécute dans un environnement non maitrisé et non sécurisé, comme le terminal mobile du consommateur. » explique Renaud Gruchet, Directeur Marketing Pradeo.
Logiciels critiques & sécurité des codes sources
La vérification du code d’un logiciel pour y détecter des défauts ou faiblesses est une étape cruciale du développement informatique. Elle permet d’éviter les erreurs et de renforcer la sécurité des applications critiques. Accélérer et renforcer ce processus grâce à une technique innovante basée sur les mathématiques est possible « Nous combinons trois méthodes mathématiques, l’interprétation abstraite, le model checking et la preuve déductive, pour assurer la conformité d’une spécification, l’absence de défauts et l’immunité des composants logiciels aux cyberattaques les plus courantes. » explique Benjamin Monate, co-fondateur et CTO TrustInSoft et de poursuivre « la réduction significative des coûts de validation de logiciels et la diminution du temps nécessaire à cette étape sont deux des avantages clés. Sur certaines tâches, comme la détection de variables partagées, les délais passent de quelques mois à seulement quelques jours. » Autant de points qui vont donc dans le sens des attentes des utilisateurs et du DevOps.
L’humain au coeur du sujet
Parallèlement aux besoins de technologies exposés par les utilisateurs, l’importance de l’humain associé aux technologies fut rappelée et soulignée à de nombreuses reprises « si la culture DevOps associée à la sécurité est partagée par les équipes sans jamais être imposée, elle deviendra le facteur de décloisonnement indispensable pour améliorer la qualité et les performances des applications, pour améliorer l’expérience utilisateur mais aussi la collaboration inter-équipe. » souligne enfin l’un des participants.
L’humain qui doit, au-delà de la sensibilisation bénéficier de formations adaptées, ponctuelles et continues. « Face aux algorithmes, en cas de crise, la décision appartiendra à l’opérateur. Son discernement basé sur une expérience et des compétences fera la différence. Il sera donc toujours au cœur du dispositif. » fut souligné en fin de débat.
En supprimant les barrières culturelles et en mettant en place une véritable gouvernance, DevOps s’avère être une démarche en vogue qui dispose de tous les ingrédients pour réussir (acteurs, gouvernance, méthodes et outils). Plutôt jeune, elle a néanmoins besoin de temps pour devenir mature et s’imposer comme élément incontournable de productivité.
Concept ayant vu le jour aux Etats-Unis, la France n’en est pas encore à un stade de maturité mais les avancées sont significatives. « Nous sommes encore loin du niveau de collaboration exposée par les Etats-Unis, même si nos PME et start-ups suivent de plus en plus cette mouvance, d’enrichissement de la donnée par des solutions complémentaires, pour obtenir des niveaux de détection plus fins et des temps de remédiation plus rapides. »
Une excellente approche, qui permet incontestablement d’aller dans le bon sens en matière de sécurité.
Le mouvement DevSecOps est donc en marche avec pour finalité d’optimiser la sécurité et le business des entreprises. Une tendance forte et porteuse, dont il ne tient qu’à nous de partager !