NBS System : Secure by default
NBS System, du groupe Celeste, assure la sécurité informatique des plateformes web & SI depuis 1999 et accompagne ses clients dans leur stratégie « move to cloud ». L’entreprise propose différentes offres de sécurité : audits, tests d’intrusion, Forensic, SecOps, DevSecOps, cyber-entraînement, etc.
Les Assises : RDV des Experts de la Sécurité
Durant les Assises 2019, NBS System avait établi une réflexion autour de la Sécurité Kubernetes aux côtés d’un de ses clients : Doctolib. Pour l’édition 2020, la conférence a quant à elle porté sur « DevSecOps : Marathon sécurité d’un « move to cloud » vers AWS ». Afin de pallier cette problématique, NBS System a mis en avant un retour d’expérience avec un de ses clients. Cependant, en pleine restructuration, le groupe en question a souhaité conserver son anonymat.
Comme l’an dernier, les équipes NBS System ont été présentes aux Assises de la Cybersécurité qui ont eu lieu du 14 au 17 octobre 2020 à Monaco. Retour sur cet atelier riche en connaissances qui a été présenté par Régis Saint Paul (Directeur Sécurité Expertise) et Guillaume Sevestre (RSSI).
Migration vers le cloud AWS
Face à un client leader dans les solutions de contact center, acteur européen possédant des centres de relation client jusqu’à plusieurs milliers de postes, NBS System a dû mettre en place des solutions et un accompagnement répondant aux enjeux et exigences du groupe.
Avec une présence à l’international, le groupe doit répondre à des normes les plus strictes (ISO 27001, PCI – DSS, HDS). En tant qu’Opérateur de Clouds Sécurisés, NBS System a piloté un projet de migration d’une application SaaS vers le cloud public AWS, qui répondait au mieux aux attentes du client. L’objectif n’étant pas de reproduire une extension du datacenter mais de procéder à une réécriture de l’application pour migrer vers du multicloud.
Ce projet d’accompagnement nécessite de nombreux acteurs à fédérer ainsi que l’implication d’une équipe large (d’opération, de développement et de contrôle). Il est important d’identifier les différents acteurs :
- Cloud Provider (AWS)
- Cloud Service Provider (CSP)
- Practice Sécurité (NBS System)
DevSecOps : le choix d’une sécurité agile
La démarche DevSecOps, c’est intégrer la sécurité du début jusqu’à la fin du projet. Notre approche est de mettre l’automatisation avec des méthodes itératives au cœur du projet. Ainsi de cette manière, nous appréhendons mieux les risques liés à la sécurité.
Rapidement, des choix structurants ont dû être faits :
- Plus de séparation possible
- Les cloisonnement entre le cloud et le one-premise
- Les guidelines sécurité
De plus, il est important de considérer que le cloud n’est pas extension de son datacenter. En effet, ce serait une erreur de penser que le cloud est d’emblée une zone de confiance. Par conséquent, il est très important de faire des focus sécurité en continue d’où une démarche DevSecOps.
DevSecOps : une démarche itérative
Pour répondre aux exigences et aux risques, NBS System a mis en œuvre une roadmap applicative ainsi que d’autres projets interne (IAM – Fédération). Afin de mener à bien la trajectoire mutlicloud sur un existant on – prem, le choix d’outils transverses adaptables aux 2 environnements a été crucial.
Pour ce faire, il a fallu mutualiser la chaine d’intégration continue (CI/CD) tout en prenant en compte les services managés du cloud provider sans jamais délaisser la sécurité. Ainsi, différentes phases d’audit et contrôle ont eu lieu :
- Matrice de couverture des exigences de sécurité vérifiée
- Utilisation d’outils de contrôle de conformité disponibles (rapports fournis par le cloud provider)
- Pentests en cours / applicatif, container et cloisonnement
DevSecOps : une alliance entre la gouvernance et la technique
Choisir d’intégrer la sécurité dès le démarrage du projet c’est choisir de faire des compromis. Ainsi, lorsqu’on choisit de migrer vers le cloud public, les solutions disponibles contraignent les futurs choix en termes de sécurité.
NBS System propose une politique de sécurité opérationnelle en constante évolution en confrontant risque et conformité sur une démarche incrémentale. Donc, les solutions proposées au client sont adaptées et sont sur le modèle « Security by design ».
Ce qu’il faut retenir :
Pour conclure, on peut dire qu’il y a une influence mutuelle des stratégies d’évolution de l’application, des clouds, des conteneurs et de la sécurité. Cependant, les principes de sécurité restent immuables (séparation des rôles, contrôles, surface d’exposition).
Le projet est en mode RUN depuis près d’1 an et les équipes NBS System procèdent à des pentests ainsi que des tests d’intrusion en continue. L’objectif est de vérifier et évaluer les vulnérabilités.
La démarche DevSecOps devient de plus en plus populaire. Elle présente ainsi plusieurs avantages :
- Détecter et corriger rapidement des anomalies sécurité
- Intégrer une approche risque et conformité
- Mesurer et évaluer les actions réalisées
- Former les équipes en interne
- Automatiser les tâches de sécurité
Ce qui a facilité l’accompagnement du projet, c’est le fonctionnement interne du client ainsi que son engagement sur le choix des décisions, les risques et la roadmap.
Pour en savoir plus sur notre démarche DevSecOps, n’hésitez pas à nous contacter !