Frédéric Patouly,
directeur régional France chez Veracode
Outre les contrôles de sécurité qui doivent être effectués sur tout le cycle de développement, il faut travailler sur l’acculturation des développeurs et leur donner les bonnes pratiques à mettre en œuvre pour produire un code plus sûr. Il ne s’agit pas de formations classiques dont on sait que le modèle ne fonctionne pas. Il faut les former en continu, notamment à la cyber offensive afin qu’ils comprennent les mécanismes d’attaque. Les outils de formation doivent être intégrés aux outils de contrôle et les développeur doivent pouvoir s’y référer au moment où ils sont confrontés à une problématique donnée. »
Sacha Labourey,
cofondateur et Chief Strategy Officer de CloudBees
Le DevOps est tellement efficace et pratique en remontant toutes les problématiques en amont que l’on a pensé que l’on pourrait aussi pousser la sécurité et la compliance. Or, le pipeline est devenu un véhicule à tout faire. Les pipelines sont de plus en plus lourds et complexes, saupoudrés d’outils et de règles de sécurité, avec un, deux, quatre scanners de sécurité pour assurer une bonne couverture. On teste les binaires, les environnements de déploiement… Les équipes cyber ont ajouté de multiples outils de sécurité. Bilan : le niveau de productivité des développeurs s’effondre. Ils n’ont pas la compréhension des problèmes levés par les outils, ils jugent les règles de conformité très abstraites, ce qui conduit rapidement à un ras-le-bol. »
Frédéric Malo,
ingénieur commercial chez Checkmarx
L’AppSec a beaucoup évolué ces dernières années. Avant, il s’agissait essentiellement de scanner le code source. Aujourd’hui, de nombreuses fonctionnalités complémentaires sont venues s’ajouter dont les scans des librairies open source, les recettes d’infrastructure as code, les API ainsi que les outils qui permettent de construire les applications. Il faut ajouter à cela la formation des développeurs. Il faut les aider à comprendre les vulnérabilités, comprendre le vocabulaire de la sécurité.
Contrairement aux éditeurs qui s’appuient uniquement sur les développeurs pour faire avancer leurs programmes AppSec, nous avons conscience que ces développeurs doivent pouvoir travailler de manière autonome et avancer à leur rythme, mais les experts AppSec, les CISO et RSSI doivent aussi avoir une vue sur les développements et faire du monitoring. »
