10 bonnes pratiques pour intégrer la sécurité dans votre cycle de développement CI/CD … et shopping list.
Délivrer toujours plus vite de nouvelles applications et de nouvelles fonctionnalités impose le CI/CD aux équipes de développement car la plupart des étapes sont automatisées et les gains de temps sont considérables… mais ils se font malheureusement souvent aux dépens de la sécurité. On découvre souvent trop tard des failles de vulnérabilité en environnement de production qui se révèlent extrêmement coûteuses à réparer en termes de ressources.
La solution ? Si vous souhaitez conserver les bénéfices de l’agilité, vous devez intégrer la sécurité continue dans le cycle de vie du développement logiciel (et non à la fin) afin d’être alertés rapidement en cas de code vulnérable ou défectueux. Certes, vous rajoutez une couche supplémentaire de contrôle mais vous préservez une mise sur le marché rapide des nouvelles applications et la protection des données … et la confiance des utilisateurs dans le temps n’en sera que renforcé.
Wadi Essafi, Président, Harington
Cela sous-entend une évolution des pratiques et un investissement dans des outils car même si de nombreux tests sont automatisés, ils n’éliminent pas certains tests manuels qui restent nécessaires.
10 bonnes pratiques pour intégrer la sécurité dans votre CI/CD.
- Modélisation et cartographie des menaces afin d’identifier où vous devez, quand et comment ajouter de la sécurité à votre pipeline CI/CD.
- Connaissance du cycle CI/CD et ses composants pour établir un registre des actifs qui collecte toutes les données, centralise les changements apportés et les actions (system logs, référentiels, code repository).
- Mise en place d’un système de vérification, de validation et de sauvegarde du code. Un plugin de sécurité IDE analyse en temps réel le code au fur et à mesure qu’il est écrit, alerte les développeurs en cas de vulnérabilité détectée et les guident pour y remédier. Vous devez établir des règles et effectuer des contrôles pour vous assurer que le code répond bien aux normes en terme de qualité et de sécurité. (Deux outils : CyberArk Conjur, git-secrets)
- Analyse rapide du code validé via des outils d’analyse statique qui ne nécessitent pas d’exécuter l’application et vous donnent des conseils pour corriger les bugs.
- Tester la sécurité … comme toutes les autres fonctions. (Quelques outils : BRAKEMAN , phan, sonarSource, Veracode)
- Vérification de la sécurité open source des bibliothèques et autres composants importés pour détecter les failles de vulnérabilité. Quelques outils SCA : WhiteSource Bolt et Snyk.
- Mener régulièrement des tests plus poussés … Scans actifs pendant la nuit pour simuler des attaques et détecter des vulnérabilités ou autre défaillances inconnues jusqu’alors (Outil OWASP ZAP), validation de l’infrastructure en utilisant les outils proposés par Azure ou AWS.
- Automatisation de l’infrastructure as a code (IaC)
- Monitoring continu car les failles de sécurité évoluent au rythme des menaces et autres attaques… Outils : kibana, Grafana, Detectitfy
- Organisation d’évènements post-morterms pour tirer les leçons du passé, renforcer la résilience et mieux se préparer à l’avenir dans une démarche d’amélioration continue 😉
Source :
En savoir plus
La migration vers le cloud est devenue un levier stratégique incontournable pour les entreprises. Ce guide pratique destiné aux DSI couvre les aspects essentiels d’une transition réussie : analyse des besoins, choix du modèle cloud adapté, sécurité des données, optimisation des performances et accompagnement expert. Découvrez comment Harington peut vous aider à réaliser une migration…
Optimisation des coûts DSI, Les approches pour réduire les dépenses liées aux services informatiques
Face à la pression croissante sur les budgets IT, les DSI doivent adopter des approches innovantes pour maîtriser les coûts tout en soutenant l’innovation. Découvrez des stratégies concrètes pour réduire les dépenses liées aux services informatiques et aux prestations intellectuelles, en mettant l’accent sur la rationalisation des actifs IT, l’automatisation des processus, l’adoption de principes…
Quels critères pour choisir un ESN en 2025 ? Découvrez comment les DSI peuvent s’appuyer sur l’expertise technologique, l’innovation, et un numérique responsable pour réussir leurs projets stratégiques. Avec ses 400 consultants, Harington répond aux enjeux des DSI avec des solutions cloud, IA, blockchain et bien plus.