Avant de parler de SecOps laissez moi vous présenter quelques chiffres sur la cybersécurité qui illustreront parfaitement l’importance de s’intéresser à cette méthode :
- Les dommages causés par la cybercriminalité mondiale devraient atteindre 10,5 billions de dollars par an d’ici 2025.
- Les dépenses mondiales en matière de cybersécurité dépasseront 1,75 trillion de dollars en cumulé de 2021 à 2025.
- Le monde comptera 3,5 millions d’emplois non pourvus dans le domaine de la cybersécurité en 2023.
- Les coûts mondiaux des dommages causés par les ransomwares devraient dépasser 265 milliards de dollars d’ici 2031.
- Le monde aura besoin de cyber protéger 200 zettabytes de données d’ici 2025.
- Le marché de la cyber assurance devrait atteindre 14,8 milliards de dollars par an d’ici 2025.
- Le monde aura besoin de sécuriser 338 milliards de lignes de nouveaux codes logiciels en 2025.
Voici quelques uns des chiffres hallucinants remontés par le blog cybersecurityventures.
Il est donc normal de s’intéresser aux nouvelles méthodes permettant de mieux gérer l’ensemble des aspects de Cybersécurité dans les processus de développement des projets informatiques.
Ca tombe bien c’est le cas du SecOps (ServiceNow Security Operations).
Dans cet article vous en saurez mieux sur :
- Ce qu’est le SecOps.
- Les principaux objectifs de cette méthode.
- Les principaux avantages.
- Quelques cas concrets.
C’est quoi le SecOps ?
Le SecOps (aussi appelé DevSecOps) est une méthode qui a pour objectif de partager les sujets de sécurité informatique dans le cadre du travail collaboratif.
L’origine du terme vient de la méthodologie DevOps dont l’objectif est de réunir les développeurs, les responsables métiers et les utilisateurs afin d’augmenter la qualité des développements dans une approche d’amélioration continue.
Le DevOps a été rendu possible grâce à la chaine CI/CD. Le CI/CD est une méthode qui permet d’accélérer et améliorer les déploiements grâce à deux étapes clés (l’intégration continue et le déploiement continue).
Seulement il manque (dans ce schéma) un point important, la sécurité !
C’est à ce moment qu’entre en scène le SecOps. Cette méthode peut être vue comme une continuité obligatoire du DevOps car elle vise à rassembler les équipes opérationnelles autour des problématiques de sécurité.
L’objectif du SecOps
Son objectif principal est de partager les responsabilités liées à la sécurité.
Dans la majorité des entreprise, les équipes chargées des « opérations » (équipes qui réalisent les développements, les tests et qui travaillent au quotidien avec la solution) et les équipes chargées de la sécurité sont divisées en équipes autonomes.
Comme tous les silos ceci amène des lenteurs et des incompréhensions au quotidien.
Donc (comme le montre la stat ci-dessous) des risques de sécurité :
La méthode SecOps a pour objectif de fusionner ces métiers afin de casser ces silos.
Le but est d’atteindre les objectifs de sécurité sans compromettre les performances IT.
Les grands avantages de cette méthode
La différence fondamentale (par rapport aux approches traditionnelles) c’est que, dans cette méthode, la sécurité est de la responsabilité de tous.
Dans un contexte ou « Le monde comptera 3,5 millions d’emplois non pourvus dans le domaine de la cybersécurité en 2023. »
Le partage de cette responsabilité parait être la seule alternative.
Le périmètre des équipes SecOps
La cybersécurité est un domaine très large, ci-dessous quelques exemples de sujets que pourrait intégrer le « Security Champion » (représentant des SecOps dans une équipe DevOps).
- Evangéliser les sujets de sécurité au sein de l’équipe. L’objectif sera que les équipes comprennent les menaces éventuelles.
- Communiquer et faire de la veille sur les sujets de sécurité. L’objectif sera d’être en mesure d’anticiper les nouvelles menaces.
- Sélection, tester, déployer des outils de sécurité. Il en assurera également le suivi opérationnel et la formation.
- Définir les bonnes pratiques de développement et sécuriser l’architecture applicative.
- Créer, maintenir et animer une matrice des risques.
Les outils des équipes SecOps
Concernant le développement applicatif nous pouvons identifier 3 types d’outils.
SAST (Static Application Security Testing ou Test Statique de Sécurité des Applications). L’objectif est de trouver les vulnérabilités dans le code source qui vient d’être produit.
DAST (Dynamic Application Security Testing ou Test Dynamique de sécurité des applications). L’objectif est de trouver des vulnérabilités lors de l’exécution du code source sur une plateforme de tests.
SCA (Software Composition Analysis ou Analyse de la composition des logiciels). L’objectif est de trouver des vulnérabilités de l’application vise à vis de ses dépendances envers les outils tiers lors de la construction de l’application.
Enfin, comment prioriser les sujets de sécurité ?
Pour aider les équipes SecOps à prioriser leurs tests, la fondation OWASP (Open Web Application Security Project). Une fondation à but non lucratif qui œuvre pour améliorer la sécurité des logiciels.
Présente (toutes les années) un classement des plus gros risques logiciels, ci-dessous le classement 2022 :
- Broken Access Control (Contrôle d’accès cassés)
- Cryptographic Failures (Défaillances cryptographiques)
- Injection
- Insecure Design
- Security Misconfiguration (Mauvaise configuration de la sécurité)
- Vulnerable and Outdated Components (Composants vulnérables et obsolètes)
- Identification and Authentication Failures (Défaillances en matière d’identification et d’authentification)
- Software and Data Integrity Failures (Défauts d’intégrité des logiciels et des données)
- Security Logging and Monitoring Failures (Défaillances de la journalisation et de la surveillance de la sécurité)
- Server-Side Request Forgery (Falsification de requête côté serveur)
