Comment les tests de sécurité d’applications doivent changer dans un monde DevOps world agile

security-text-on-screen

Dans le contexte actuel de la cyber sécurité, il est essentiel d’élaborer une stratégie de sécurité qui couvre tous les angles d’attaque. Les entreprises doivent en permanence évaluer leur niveau de préparation et améliorer la gestion et les processus pour avoir toujours un coup d’avance sur des individus mal intentionnés.

Les applications sont une des cibles préférées des pirates, car elles sont vulnérables : elles sont concernées par 90 % des piratages réussis. Pour se protéger contre cette menace, les entreprises peuvent avoir une approche sécuritaire proactive en intégrant la sécurité dans le cycle de développement du logiciel.

Pour aider à résoudre ce casse-tête qu’est la sécurité des applications, les entreprises pourraient exploiter un service automatisé de test d’applications au prorata de leur consommation. Permettant rapidité, flexibilité et économies, un service de test d’applications pourrait être décomposé en deux étapes. Un premier scan, statique, viendrait scanner le code à la recherche de vulnérabilités qui pourraient être exploitées par un pirate. Puis, un test dynamique viendrait déceler les points faibles potentiels dans un environnement d’exécution. Mais cela ne veut pas dire que le test d’application en tant que service se limite à un outil de test classique. Des experts devraient aussi examiner les rapports pour valider leur résultat et fournir un retour personnalisé afin de modifier l’application et ainsi réduire sa vulnérabilité.

La sécurité applicative recouvre plusieurs aspects. Il est nécessaire d’élaborer la sécurité de nouveaux projets tout en continuant à sécuriser les applications existantes. Lors d’un projet de transformation, il est essentiel de moderniser et sécuriser les applications existantes. Il y a plusieurs avantages à choisir un service de test d’application. La dimension « à la demande » est particulièrement intéressante, car c’est beaucoup plus facile et pratique qu’un contrat normal. Comme c’est au prorata de la consommation, vous n’avez pas à vous engager sur un an d’utilisation – vous pouvez scanner une application comme des centaines, selon le besoin. Cela évite d’acheter une licence, de faire l’installation, de lancer le scan, et d’interpréter le résultat vous-même, vous payez juste pour ce que vous utilisez.

Les nouvelles tendances managériales ont rendu le test d’application à la demande encore plus essentiel. Comme de plus en plus d’entreprises se convertissent à la méthode agile et utilisent des environnements DevOps pour créer leurs applications, elles ont de plus en plus besoin produire du code fréquemment, chaque semaine ou tous les quinze jours. Personne ne veut implémenter du code qui est vulnérable. Pour cette raison, le problème de la sécurité ne peut jamais être évacué, et l’entreprise doit effectuer un contrôle continu, intégré au processus, et non juste poser des rustines après coup.

Cela veut dire que la phase de test de la sécurité applicative doit arriver plus tôt dans le cycle de développement, plutôt que d’attendre que le code soit finalisé, le scanner, et découvrir une montagne d’erreurs. Depuis une perspective agile, pensez à ce que l’on gagne à effectuer un scan à chaque ajout de code. Il est très intéressant pour les développeurs de leur donner à voir les erreurs avant de publier le code, pour qu’ils les corrigent en amont. Cela leur permet de régler les problèmes au fur et à mesure plutôt que de créer des vulnérabilités en masse pendant le processus de code.

L’essor du mobile et du cloud a aussi rendu le test d’application plus important que jamais. Dans les environnements cloud et mobile, surtout les clouds publics, car vous utilisez des fournisseurs externes. Si vous pouvez sécuriser l’application, vous comblez les brèches et réduisez votre vulnérabilité.

Enfin, de plus en plus de normes et de régulations gouvernementales exigent de tester la sécurité des applications. Le mille-feuille réglementaire est plus complexe et pesant que jamais. La compréhension des réglementations qui régissent la sécurité des applications et intégrer la sécurité au cycle de développement d’un logiciel est essentielle à la priorisation, au respect des normes, et à la protection des actifs et de la marque.

Chez DXC, nous avons une vision de A-à-Z de la sécurité applicative. Dans le cadre de notre approche proactive, la phase de test fait partie à part entière de votre cycle de développement. Reléguer la sécurité à plus tard représente un grand risque d’échec. Parallèlement à l’augmentation de la demande, le test de sécurité à la demande donne aux entreprises la simplicité et la flexibilité qu’elles recherchent.


Jeff-Misustin-headshotJeff Misustin est directeur de l’équipe de gestion du portefeuille Application Security de DXC. Jeff compte plus de 20 ans d’expérience dans l’informatique, aussi bien dans le secteur public que privé. Son expertise principale porte sur les services applicatifs et leur sécurité, mais il a une expérience globale de toutes les facettes du service informatique. Il a travaillé dans des environnements complexes – usant de solutions innovantes pour fournir les résultats escomptés.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: