DevSecOps : Marathon sécurité d’un « move to cloud » vers AWS – Assises 2020

DevSecOps Assises 2020 NBS System

Evénement, Expertise

NBS System : Secure by default

NBS System, du groupe Oceanet Technology, assure la sécurité informatique des plateformes web & SI depuis 1999 et accompagne ses clients dans leur stratégie « move to cloud ». NBS System propose différentes offres de sécurité : audits, tests d’intrusion, Forensic, SecOps, DevSecOps, cyber-entraînement, etc. Reconnu dans le domaine de la sécurité, il a conçu CerberHost, une solution d’hébergement ultra-sécurisée disponible sur le cloud privé et public.

Les Assises : RDV des Experts de la Sécurité

Lors des Assises 2019, NBS System avait établi une réflexion autour de la Sécurité Kubernetes aux côtés d’un de ses clients : Doctolib. Pour l’édition 2020, la conférence a porté sur « DevSecOps : Marathon sécurité d’un « move to cloud » vers AWS ». Afin de pallier cette problématique, NBS System a mis en avant un retour d’expérience avec un de ses clients. Cependant, en pleine restructuration, le groupe en question a souhaité conserver son anonymat.

Comme l’an dernier, les équipes NBS System ont été présentes aux Assises de la Cybersécurité qui ont eu lieu du 14 au 17 octobre 2020 à Monaco. Retour sur cet atelier riche en connaissances qui a été présenté par Régis Saint Paul (Directeur Sécurité Expertise) et Guillaume Sevestre (RSSI).

Cliquez ici pour découvrir le podcast de l’atelier

devsecops nbs assises

Migration vers le cloud AWS

Face à un client leader dans les solutions de contact center, acteur européen possédant des centres de relation client jusqu’à plusieurs milliers de postes, NBS System a dû mettre en place des solutions et un accompagnement répondant aux enjeux et exigences du groupe.

Avec une présence à l’international, le groupe doit répondre à des normes les plus strictes (ISO 27001, PCI – DSS, HDS). En tant qu’Opérateur de Clouds Sécurisés, NBS System a piloté un projet de migration d’une application SaaS vers le cloud public AWS, qui répondait au mieux aux attentes du client. L’objectif n’étant pas de reproduire une extension du datacenter mais de procéder à une réécriture de l’application pour migrer vers du multicloud.

Ce projet d’accompagnement nécessite de nombreux acteurs à fédérer ainsi que l’implication d’une équipe large (d’opération, de développement et de contrôle). Il est important d’identifier les différents acteurs :

  • Cloud Provider (AWS)
  • Cloud Service Provider (CSP)
  • Practice Sécurité (NBS System)

DevSecOps : le choix d’une sécurité agile

La démarche DevSecOps, c’est intégrer la sécurité du début jusqu’à la fin du projet. Notre approche est de mettre l’automatisation avec des méthodes itératives au cœur du projet. De cette manière, nous appréhendons mieux les risques liés à la sécurité.

devsecops

Rapidement, des choix structurants ont dû être faits :

  • Choix vers plus de séparation possible
  • Choix de cloisonnement entre le cloud et le one-premise
  • Choix de guidelines sécurité

Il est important de considérer que le cloud n’est pas extension de son datacenter. En effet, ce serait une erreur de penser que le cloud est d’emblée une zone de confiance. Par conséquent, il est très important de faire des focus sécurité en continue d’où une démarche DevSecOps.

DevSecOps : une démarche itérative

Cliquez ici pour découvrir la présentation

DevSecOps nbs system

Pour répondre aux exigences et aux risques, NBS System a mis en œuvre une roadmap applicative ainsi que d’autres projets interne (IAM – Fédération). Afin de mener à bien la trajectoire mutlicloud sur un existant on – prem, le choix d’outils transverses adaptables aux 2 environnements a été crucial.

Pour ce faire, il a fallu mutualiser la chaine d’intégration continue (CI/CD) tout en prenant en compte les services managés du cloud provider sans jamais délaisser la sécurité. Ainsi, différentes phases d’audit et contrôle ont eu lieu :

  • Matrice de couverture des exigences de sécurité vérifiée
  • Utilisation d’outils de contrôle de conformité disponibles (rapports fournis par le cloud provider)
  • Pentests en cours / applicatif, container et cloisonnement

DevSecOps : une alliance entre la gouvernance et la technique

Choisir d’intégrer la sécurité dès le démarrage du projet c’est choisir de faire des compromis. Lorsqu’on choisit de migrer vers le cloud public, les solutions disponibles contraignent les futurs choix en termes de sécurité.

NBS System propose une politique de sécurité opérationnelle en constante évolution en confrontant risque et conformité sur une démarche incrémentale. Les solutions proposées au client sont adaptées et sont sur le modèle « Security by design ».

Ce qu’il faut retenir :

Pour conclure, on peut dire qu’il y a une influence mutuelle des stratégies d’évolution de l’application, des clouds, des conteneurs et de la sécurité. Cependant, les principes de sécurité restent immuables (séparation des rôles, contrôles, surface d’exposition).

Le projet est en mode RUN depuis près d’1 an et les équipes NBS System procèdent à des pentests et des tests d’intrusion en continue. L’objectif est de vérifier et évaluer les vulnérabilités.

La démarche DevSecOps devient de plus en plus populaire. Elle présente plusieurs avantages :

  • Détecter et corriger rapidement des anomalies sécurité
  • Intégrer une approche risque et conformité
  • Mesurer et évaluer les actions réalisées
  • Former les équipes en interne
  • Automatiser les tâches de sécurité

Ce qui a facilité l’accompagnement du projet, c’est le fonctionnement interne du client et son engagement sur le choix des décisions, les risques et la roadmap.

Pour en savoir plus sur notre démarche DevSecOps, n’hésitez pas à nous contacter !