Devsecops methodologie shift left slides
Introduction à DevSecOps : Définition¶
DevSecOps (Development, Security, and Operations) est une approche qui intègre la sécurité dans tout le cycle de vie logiciel
Le but est d'intégrer la sécurité dès les premières étapes du développement
La sécurité ne doit pas être ajoutée uniquement en fin de projet, lors des phases de test ou de validation
Cela permet d'identifier et de corriger les vulnérabilités plus tôt, de réduire les coûts et de prévenir les failles de sécurité
Introduction à DevSecOps : Objectifs & Principes¶
Les objectifs principaux de DevSecOps :
- Intégrer la sécurité dans chaque phase du développement - Automatiser la sécurité avec des outils de scan de vulnérabilités et de détection de menaces - Surveillance et feedback continus : Les menaces potentielles sont identifiées en temps réel - Amélioration continue : Les politiques et les configurations de sécurité évoluent - Collaborer entre les équipes Dev, Sec et Ops pour un workflow unifié (responsabilité partagée) - Réduire les coûts en traitant les problèmes de sécurité avant la mise en production
Introduction au Shift Left : Objectifs¶
Les objectifs de la méthodologie Shift Left : - Réduction des risques : Les failles de sécurité sont détectées plus tôt - Amélioration de l'efficacité : Moins de corrections de dernière minute - Réduction des coûts : Les erreurs détectées tôt sont moins coûteuses à corriger
Implémentation du Shift Left¶
- Contrôler au plus tôt : Détecter les problèmes dès le poste du développeur, puis dans la CI/CD
- Automatiser dès le commit : Utiliser des Git Hooks (pre-commit) pour bloquer les erreurs simples localement
- Intégrer dans la CI/CD : Chaque pipeline doit agir comme un point de contrôle de sécurité
- Sécuriser la Supply Chain : Scanner systématiquement les dépendances (SCA) et les images de base
- Revue de code orientée sécurité : Sensibiliser les développeurs aux vulnérabilités (OWASP Top 10)
- Infrastructure as Code : Appliquer les scans de sécurité (Checkov, Tfsec) sur Terraform et Kubernetes
Pratiques et Outils du Shift Left¶
- SAST (Static Application Security Testing) : Analyse statique du code source
- Outils : SonarQube, Snyk Code, Semgrep
- SCA (Dependency Scanning) : Analyse des bibliothèques tierces
- Outils : Snyk, GitHub Dependabot, OWASP Dependency-Check
- IaC Scanning : Analyse de sécurité des fichiers Terraform, Kubernetes, Dockerfile
- Outils : Checkov, Tfsec, KICS
- Secret Detection : Prévenir la fuite de clés API et mots de passe
- Outils : Gitleaks, TruffleHog
- DAST (Dynamic Testing) : Tests sur l'application en cours d'exécution
- Outils : OWASP ZAP, Burp Suite
- Runtime Security : Détection d'intrusions et de comportements anormaux
- Outils : Falco, Sysdig, Aqua Security
Récap¶
Le DevSecOps est une démarche globale qui intègre la sécurité dans l'ensemble du cycle de vie logiciel
Le Shift Left consiste à appliquer cette sécurité le plus tôt possible dans le cycle de développement
Avec l’automatisation, la collaboration entre équipes et des outils adaptés, les organisations peuvent construire des applications plus sûres et réagir plus tôt aux menaces