DevSecOps en embarquant l'outillage, le process et les 'Security Champions' chez AXA France

Description

Contexte : Le modèle de sécurisation des développements n'était plus adapté aux menaces cyber et au rythme des releases imposé par le DevOps : plan de sécurisation en amont du projet, pentests en fin de projets, formations des développeurs à un niveau minimal en terme de cybersecurité. Ce modèle crée des frictions fortes : évolution du périmètre des applications sans notification aux équipes cybersécurité, planification complexe des campagnes de pentests, résultats de pentests qui mettent en risque le delivery. Objectif : Renforcement de la sécurité de nos applications. Solutions mises en places : 1ère tentative pour répondre à ce modèle : donner aux développeurs des outils de cybersecurité (SAST et SCA). Echec de cette tentative : basée sur juste l'outillage, les développeurs n'ont pas adhérés. 2ème tentative (en cours) : déploiement d'une démarche DevSecOps embarquant l'outillage, la process, et le développeur. Renforcement de l'outillage et intégration dans le pipeline d'intégration continue. Définition d'un process "d'onboarding" des applications s'intégrant dans une démarche agile. Identification de quelques acteurs clés : les security champions Premiers résultats : Identification systématiques des faiblesses des applications au plus tôt sur les applications embarquées. Meilleure communication entre les équipes de développement et sécurité grâce à l'implication des security champions.

La conférence devops 100% REX

devops REX est la conférence devops 100% retour d’expérience (REX). Des speakers reconnus traitent des applications concrètes de la méthodologie devops en entreprise, avec ses bénéfices mais aussi ses contraintes et ses limites, le tout dans un univers prestigieux et haut de gamme.