Dossier en collaboration avec e-Xpert Solutions

DevSecOps et processus de déploiement d’une application Web

par Yann Desmarest, Innovation Center Manager, e-Xpert Solutions SA

Afin de relever les nouveaux défis des technologies du "Cloud", les entreprises adoptent des cycles de développement applicatif et de déploiement très rapides. Les approches classiques de la sécurité ne sont plus compatibles et l’automatisation de la sécurité IT est devenue incontournable.

Yann Desmarest, Innovation Center Manager, e-Xpert Solutions SA.
Yann Desmarest, Innovation Center Manager, e-Xpert Solutions SA.

La méthode "DevSecOps" est naturellement liée à la culture "DevOps". A l’inverse de l’approche classique où la sécurité est trop souvent abordée en fin de projet, cette méthode consistera à intégrer la sécurité dans l’ensemble des étapes du cycle de développement logiciel.

Auparavant, chaque nouvelle version d’une application nécessitait la mise à jour manuelle des configurations de sécurité; opérations dorénavant incompatibles avec le rythme de déploiement des applications. Les solutions de sécurité traditionnelles échouent donc très rapidement dans ces environnements, faute de possibilités d’automatisation et d’architectures évolutives.

Le déploiement d’une application Web sollicite de nombreux composants tels que des serveurs DNS, des firewall, des load balancer, des Firewall Applicatifs (WAF), des services anti-DDoS, le WebSSO, etc.

Les étapes de déploiement d’une application

Automatiser toutes les étapes de déploiement d’une application représente une économie en temps (l’unité "semaine" se transforme en "heure") et une diminution des risques d’erreurs certaine. La méthode DevSecOps permet de relever ce défi.

Dans le voyage "DevSecOps", le recensement des actions requises pour réaliser une tâche souhaitée en est le point de départ. On corrèle ensuite ces actions avec le temps de mise en place, la technicité requise, le taux d’erreurs acceptables et la disponibilité du staff technique pour leur réalisation. Les actions facilement automatisables ressortent naturellement et le périple commence.

Pour publier une application Web, certaines actions sont facilement automatisables, comme la configuration des règles de loadbalancing, de reverse proxy et de firewall. Les administrateurs mettent ici un premier pas dans le DevOps en scriptant l’exécution de ces actions. Une solution d’orchestration pourra ensuite reprendre ces scripts pour en automatiser le workflow.

L’atout des technologies WAF

D’autres tâches comme la création des politiques de sécurité du firewall applicatif peuvent être fastidieuses et hautement techniques. Certaines technologies WAF offrent toutefois des fonctions d’assistance et d’apprentissage automatique pour réduire le temps homme et les compétences techniques nécessaires. Le déploiement d’une politique de sécurité WAF peut alors commencer durant la phase de test de l’application. Celle-ci passera ensuite en production avec les protections adéquates limitant ainsi les surfaces d’attaques sans dégrader leur disponibilité.

A un autre niveau, il est possible d’automatiser les scans de vulnérabilités des applications en phase de test. Les résultats des scans peuvent servir à mettre à jour les politiques de sécurité du WAF avant un passage en production. On parle alors de Virtual Patching.

Davantage d’agilité et nombre limité d’erreurs

Effet de bord positif de l’élan technologique stimulé par le Cloud: certains services de sécurité redeviennent accessibles et plus facilement gérables car libéré du facteur-temps humain et de leur complexité technologique (fonctions d’auto-apprentissage, etc.).

Automatiser 100% du workflow de déploiement est un investissement en temps et en énergie non négligeable mais les bénéfices se font rapidement ressentir sur l’agilité des infrastructures IT, la rapidité et la fréquence de déploiement ainsi que le nombre limité et maîtrisé d’erreurs. Autant de conditions imposées par un autre voyage: celui du Cloud…

----------

Le DevOps consiste à changer la culture IT de l’entreprise

L’approche DevOps est l’une des tendances d’entreprise les plus en vogue. Arnaud Lemaire, responsable avant-vente chez F5 Networks, éditeur qui sécurise l’application du code à l’utilisateur, nous livre ses quelques conseils sur la mise en place du DevOps. Interview: e-Xpert Solutions

Que se cache-t-il exactement derrière le concept du «DevOps»?

Le DevOps est un processus qui réunit les équipes de développement et d’autres parties prenantes IT pour atteindre un objectif commun: mettre en production plus rapidement du code de meilleure qualité. Il s’agit d’un concept crucial pour aider les entreprises à satisfaire les demandes de leurs clients, notamment parce qu’il permet de réunir les équipes afin de favoriser l’innovation et une meilleure collaboration, et donc atteindre une plus grande efficacité.

Quels sont les bénéfices d’une telle approche pour les entreprises?

En éliminant les barrières, souvent organisationnelles, qui entravent le développement des logiciels, les opérations sont rationalisées et les entreprises peuvent réagir plus rapidement aux demandes du marché. Les organisations qui adoptent le DevOps peuvent s’attendre à une réduction de 18 à 21% de leurs délais de mise sur le marché. Dans le même temps, influencée par le DevOps, la mise sur le marché rapide de nouveaux produits et services entraîne en moyenne, selon Deloitte, une augmentation des revenus de l’entreprise de l’ordre de 20%.

Où en sont les entreprises aujourd’hui?

L’approche DevOps est encore un sujet inédit pour beaucoup d’entre elles. L’adoption à grande échelle est généralement lente. Cependant, et c’est un fait encourageant, le rapport SOAD (The State of Application Delivery Report) 2018 de F5 indique que 53% des entreprises utilisent l’automatisation en production de manière partielle ou totale. L’approche DevOps n’est pas simplement l’implantation de nouveaux outils. Il s’agit surtout de changer la culture IT de l’entreprise, de faire évoluer des habitudes profondément enracinées, de transformer d’anciens processus et de s’assurer que tous les changements sont effectués pour de bonnes raisons. Il ne faut pas passer au DevOps par plaisir ou par effet de mode.

On parle aujourd’hui de DevSecOps. Pouvez-vous nous en dire plus?

Historiquement, l’équation coût et ressources disponibles déterminait en fonction de l’application et de sa criticité s’il fallait investir en termes de sécurité. On se rend compte aujourd’hui que toute application, même la plus anodine, est potentiellement vulnérable et peut se transformer en porte ouverte vers nos données sensibles. Le DevSecOps permet d’éviter de choisir en industrialisant les contrôles de sécurité, qui peuvent alors être appliqués à l’ensemble des projets.

Le DevSecOps serait donc certainement plus approprié pour des applications publiées à l’extérieur des entreprises (B2C/B2B)?

Les menaces touchent tout type d’applications: les applications externes sont les cibles naturelles des attaques contre les API, par «credentialstuffing» et DDoS, tandis que les applications internes restent la cible privilégiée des ransomwares et des malwares. Dans tous les cas, les entreprises doivent accepter la notion de «protection des données dès la conception», concept du «shift to the left», et s’assurer que les applications, systèmes d’exploitation et logiciels de navigation sont protégés contre les menaces les plus récentes. Les entreprises doivent éviter les solutions qui nécessitent une intervention ou une optimisation manuelle. Les produits dotés de capacités d’auto- adaptation et d’auto-apprentissage et permettant de s’intégrer dans un pipeline d’automatisation contribuent à réduire les besoins en personnel pour la gestion de l’infrastructure de sécurité. La notion de DevSecOps prend alors tout son sens.

Webcode
DPF8_169800