Devops Rex La conférence développeurs s’ouvre toujours plus à la cybersécurité
Année après année, Devops Rex s’affirme comme la conférence développeurs francophone indépendante la plus importante de l’année. Aucune présentation produits ou services, pas de blabla marketing. Du concret et uniquement du concret.
Le 17 octobre dernier s’est tenue l’édition 2019 de la conférence développeurs Devops Rex. Devant le succès de l’événement, la conférence a déménagé du cinéma parisien Le Rex vers la Cité des sciences et ses 2 000 m2 dont une salle peut accueillir 900 personnes. Elle conserve toutefois son nom car Jonathan Clarke, le fondateur de cet événement, insiste sur le fait que la conférence s’appuie intégralement sur des retours d’expérience ( REX) et que la mascotte demeure un T- Rex. Donc cinéma ou pas : Devops Rex demeure Devops Rex ! Comme à l’habitude, le programme a été particulièrement chargé et les 800 participants ont semblé ravis du déroulé de la journée selon les témoignages que nous avons pu recueillir. La journée était partagée entre trois thématiques principales, Devops, Devsecops et ateliers techniques. Également comme à l’accoutumée, les sponsors sont présents dans le hall d’exposition et disposent de quelques minutes entre les sessions pour présenter leurs activités. Nous nous sommes tout particulièrement intéressés aux sessions concernant le Devsecops avec les témoignages du RSSI de la banque Casden Benoît Buzeau et de JoyAlexandra Denis, RSSI adjointe du groupe Jcdecaux. Tous les deux ont partagé leur évolution dans la conduite des projets en intégrant la sécurisation des applications et projets dès la phase de conception ce qui, dans les deux cas, impliquait une rupture assez forte par rapport aux pratiques précédentes.
Changer les pratiques
Madame Denis a insisté sur la nécessité d’intégrer pleinement la sécurité dans l’ensemble du processus en changeant les pratiques, à savoir ne plus être un valideur mais un conseil. Rachid Zarouali, de Seven Sphere, s’est intercalé entre ces deux présentations pour présenter les bonnes pratiques à adopter dans la mise en oeuvre de containers, présentant les différents pièges les plus classiques et les moyens de les éviter. Par exemple, l’analyse comportementale ou comment détecter les activités indésirables et/ ou malveillantes, l’intégration d’un scanner de sécurité directement dans un pipeline de CI/ CD et le verrouillage des images Docker via un admission controler dans Kubernetes.
Toujours dans la veine Devsecops, Yann Crumeyrolle et Arthur Szumowicz d’axa ont partagé leur expérience dans la refonte du processus de sécurisation. Ils n’ont pas hésité à faire part de l’échec de leur première tentative, à savoir une fourniture des outils de cybersécurité aux développeurs. Sans accompagnement, ils n’ont pas adhéré !
La seconde tentative a consisté à déployer une démarche Devsecops embarquant l’outillage, le process et le développeur. Vient ensuite la définition d’un process d’onboarding des applications s’intégrant dans une démarche agile. Identification de quelques acteurs clés : les security champions. Les premiers résultats sont prometteurs avec une identification systématique des faiblesses des applications notamment sur les applications embarquées et une meilleure communication entre les équipes de développement et de sécurité. ✖