DevSecOps : Marathon sécurité d’un « move to cloud » vers AWS

Sommaire

NBS System : Secure by default

NBS System, du groupe Celeste, assure la sécurité informatique des plateformes web & SI depuis 1999 et accompagne ses clients dans leur stratégie « move to cloud ». L’entreprise propose différentes offres de sécurité : auditstests d’intrusion, Forensic, SecOps, DevSecOpscyber-entraînement, etc. 

Les Assises : RDV des Experts de la Sécurité

Durant les Assises 2019, NBS System avait établi une réflexion autour de la Sécurité Kubernetes aux côtés d’un de ses clients : Doctolib. Pour l’édition 2020, la conférence a quant à elle porté sur « DevSecOps : Marathon sécurité d’un « move to cloud » vers AWS ». Afin de pallier cette problématique, NBS System a mis en avant un retour d’expérience avec un de ses clients. Cependant, en pleine restructuration, le groupe en question a souhaité conserver son anonymat.

Comme l’an dernier, les équipes NBS System ont été présentes aux Assises de la Cybersécurité qui ont eu lieu du 14 au 17 octobre 2020 à Monaco. Retour sur cet atelier riche en connaissances qui a été présenté par Régis Saint Paul (Directeur Sécurité Expertise) et Guillaume Sevestre (RSSI).

Migration vers le cloud AWS

Face à un client leader dans les solutions de contact center, acteur européen possédant des centres de relation client jusqu’à plusieurs milliers de postes, NBS System a dû mettre en place des solutions et un accompagnement répondant aux enjeux et exigences du groupe.

Avec une présence à l’international, le groupe doit répondre à des normes les plus strictes (ISO 27001, PCI – DSS, HDS). En tant qu’Opérateur de Clouds Sécurisés, NBS System a piloté un projet de migration d’une application SaaS vers le cloud public AWS, qui répondait au mieux aux attentes du client. L’objectif n’étant pas de reproduire une extension du datacenter mais de procéder à une réécriture de l’application pour migrer vers du multicloud.

Ce projet d’accompagnement nécessite de nombreux acteurs à fédérer ainsi que l’implication d’une équipe large (d’opération, de développement et de contrôle). Il est important d’identifier les différents acteurs :

  • Cloud Provider (AWS)
  • Cloud Service Provider (CSP)
  • Practice Sécurité (NBS System)

DevSecOps : le choix d’une sécurité agile

La démarche DevSecOps, c’est intégrer la sécurité du début jusqu’à la fin du projet. Notre approche est de mettre l’automatisation avec des méthodes itératives au cœur du projet. Ainsi de cette manière, nous appréhendons mieux les risques liés à la sécurité.

Rapidement, des choix structurants ont dû être faits :

  • Plus de séparation possible
  • Les cloisonnement entre le cloud et le one-premise
  • Les guidelines sécurité

De plus, il est important de considérer que le cloud n’est pas extension de son datacenter. En effet, ce serait une erreur de penser que le cloud est d’emblée une zone de confiance. Par conséquent, il est très important de faire des focus sécurité en continue d’où une démarche DevSecOps.

DevSecOps : une démarche itérative

Pour répondre aux exigences et aux risques, NBS System a mis en œuvre une roadmap applicative ainsi que d’autres projets interne (IAM – Fédération). Afin de mener à bien la trajectoire mutlicloud sur un existant on – prem, le choix d’outils transverses adaptables aux 2 environnements a été crucial.

Pour ce faire, il a fallu mutualiser la chaine d’intégration continue (CI/CD) tout en prenant en compte les services managés du cloud provider sans jamais délaisser la sécurité. Ainsi, différentes phases d’audit et contrôle ont eu lieu :

  • Matrice de couverture des exigences de sécurité vérifiée
  • Utilisation d’outils de contrôle de conformité disponibles (rapports fournis par le cloud provider)
  • Pentests en cours / applicatif, container et cloisonnement

 

DevSecOps : une alliance entre la gouvernance et la technique

Choisir d’intégrer la sécurité dès le démarrage du projet c’est choisir de faire des compromis. Ainsi, lorsqu’on choisit de migrer vers le cloud public, les solutions disponibles contraignent les futurs choix en termes de sécurité.

NBS System propose une politique de sécurité opérationnelle en constante évolution en confrontant risque et conformité sur une démarche incrémentale. Donc, les solutions proposées au client sont adaptées et sont sur le modèle « Security by design ».

Ce qu’il faut retenir :

Pour conclure, on peut dire qu’il y a une influence mutuelle des stratégies d’évolution de l’application, des clouds, des conteneurs et de la sécurité. Cependant, les principes de sécurité restent immuables (séparation des rôles, contrôles, surface d’exposition).

Le projet est en mode RUN depuis près d’1 an et les équipes NBS System procèdent à des pentests ainsi que des tests d’intrusion en continue. L’objectif est de vérifier et évaluer les vulnérabilités.

La démarche DevSecOps devient de plus en plus populaire. Elle présente ainsi plusieurs avantages :

  • Détecter et corriger rapidement des anomalies sécurité
  • Intégrer une approche risque et conformité
  • Mesurer et évaluer les actions réalisées
  • Former les équipes en interne
  • Automatiser les tâches de sécurité

Ce qui a facilité l’accompagnement du projet, c’est le fonctionnement interne du client ainsi que son engagement sur le choix des décisions, les risques et la roadmap.

Pour en savoir plus sur notre démarche DevSecOps, n’hésitez pas à nous contacter !

Autres articles
CRAM : Cas client Pentest Externe et Interne

CRAM : Cas…

Un Cas Client sur comment renforcer son SI grâce au pentest (Test d’intrusion) Découvrez dans…

Un Livre Blanc sur le contournement des EDR et antivirus

Un Livre Blanc…

Les failles des EDR et antivirus exposées Les EDR (Endpoint Detection and Response) et les…

Chef de projet : un rôle clé pour la réussite des missions NBS System

Chef de projet…

Quel est le rôle d’un chef de projet  Cybersécurité ? Être chef de projet au…

Retour en haut
Aller au contenu principal