Olivier Mélis, Checkmarx : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle
octobre 2022 par Marc Jacob
A l’occasion des Assise, Checkmarx présentera sa plate-forme de sécurité applicative Checkmarx One spécifiquement conçue pour la pile technologique, les processus, les vulnérabilités et les risques actuels. De plus, mettra en avant sa nouveauté, Checkmarx Fusion, un moteur de corrélation contextuel qui offre une visibilité sur les applications, les interactions des composants et les nomenclatures logicielles. Son atelier sera le retour d’expérience de SANOFI qui montrera comment mesurer son niveau de maturité AppSec et démarrer une démarche DevSecOps ou migrer du DevOps au DevSecOps sans perte de productivité.
Olivier Mélis, Regional Sales Director France & Benelux de Checkmarx considère qu’Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises ?
Olivier Mélis : Nous présenterons Checkmarx One, la plate-forme de sécurité applicative la plus complète du marché spécifiquement conçue pour la pile technologique, les processus, les vulnérabilités et les risques actuels. Elle intègre l’analyse de code statique (SAST), l’inventaire des Open Source (SCA), l’analyse dynamique en temps réel des applications en cours d’exécution (IAST), l’analyse des IAC (Infrastructure as Code), l’analyse des containers et la formation des développeurs, pour intégrer la sécurité à l’ensemble des étapes du cycle de développement logiciel. Checkmarx permet de gérer les risques de sécurité logicielle à la vitesse DevOps (automatisation et scans incrémentaux), en mettant les applications en production rapidement et en toute sécurité sans interrompre les flux de travail des développeurs.
Nous présenterons également notre nouveauté, Checkmarx Fusion, un moteur de corrélation contextuel qui offre une visibilité complète sur les applications, les interactions des composants et les nomenclatures logicielles. Cette vue holistique des résultats des scans de sécurité à toutes les étapes du cycle de vie du logiciel permet de corréler et de hiérarchiser les vulnérabilités, orientant de prime abord vers la remédiation des problèmes les plus critiques. Checkmarx Fusion est intégré à Checkmarx One.
GS Mag : Quel sera le thème de votre conférence cette année ?
Olivier Mélis : Le DevSecOps : quels sont les avantages d’une plateforme unifiée de sécurité applicative, avec le témoignage de notre client SANOFI. Plus concrètement nous expliquerons comment mesurer son niveau de maturité AppSec et démarrer une démarche DevSecOps ou migrer du DevOps au DevSecOps sans perte de productivité. Sanofi apportera son témoignage sur l’approche organisationnelle holistique nécessaire pour accompagner un tel projet et l’importance de l’onboarding des équipes.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2022 ?
Olivier Mélis : Le développement des cyberattaques et les risques et conséquences associées à un code défectueux ou à des configurations d’infrastructures erronées se sont considérablement développés. Nous assistons également à de plus en plus d’attaques ciblant la supply chain logicielle via les environnements open source, traditionnellement approuvés par la communauté mondiale des développeurs. Cette nouvelle réalité a renforcé l’intérêt des entreprises pour le DevSecOps ou plus précisément pour la mise en place de tests sécurisés et règlementés tout au long du cycle de vie applicatif mais aussi pour plus de garanties sur les composants Open Sources utilisés.
GS Mag : Quid des besoins des entreprises ?
Olivier Mélis : La démarche DevOps et son corollaire le DevSecOps requièrent des processus de collaboration et se heurtent donc à des organisations très silotées entre la production, le développement, la sécurité et les réseaux. De plus, les intervenants ne sont pas forcément en relation avec les métiers pourtant donneurs d’ordre réguliers pour des applications visant à améliorer le business de l’entreprise. Dans la plupart des cas, la rapidité d’exécution prime souvent sur la sécurité. Pour résumer : le manque de ressources, de compétences et de budgets constituent les principaux freins à l’adoption d’une approche DevSecOps dans les entreprises.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Olivier Mélis : Faire émerger une culture AppSec nécessite de rééquilibrer les besoins au sein de l’organisation dans sa globalité, en offrant une sécurité transparente dans l’ensemble du SDLC. Cela passe par la mise en place d’une plateforme unique et automatisée de bout-en-bout pleinement intégrée dans les pipelines CI/CD et DevOps. Mais cela passe aussi par l’implication des développeurs et le partage des responsabilités. Au plus près du code, les développeurs doivent disposer de moyens renforcés – des outils comme des formations - qui leur permettront de fournir du code sécurisé. Avec la complexité des applications modernes – qui incluent le code source, le code open source, l’infrastructure as code, les conteneurs, etc. – ils ont également un besoin critique de visibilité sur la façon dont les composants applicatifs interagissent mais aussi d’une approche contextualisée et hiérarchisée des vulnérabilités applicatives, des fonctions qui font défaut dans les solutions AST et ASOC (Application Security Orchestration and Correlation) présentes sur le marché.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Olivier Mélis : Le télétravail a accéléré la transformation digitale des entreprises. Ces dernières, pour répondre aux besoins des métiers et des clients, ont besoin d’applications robustes et sécurisées dès leur conception. Nous les accompagnons dans l’automatisation de la sécurité sur l’ensemble du cycle de vie du développement logiciel afin de garantir la qualité de leurs applications dont celles servant le télétravail.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Olivier Mélis : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle pour éviter qu’une application non sécurisée n’arrive en production, traiter les principales menaces impactant le code source, l’open source, l’Infrastructure as code, les API etc…
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Olivier Mélis : Toute entreprise est une entreprise logicielle, construite par des développeurs. Cette citation de Satya Nadella, CEO de Microsoft possède une résonnance très forte. Une entreprise est bel et bien poussée vers la croissance par ses développeurs qui réussissent à transformer des idées en livrables performants pour les clients. Checkmarx est le partenaire qui les accompagne on premise ou dans le cloud dans la protection du code et ce, quel que soit leur degré de maturité.
– Pour tout renseignement : Olivier Melis - olivier.melis@checkmarx.com
Articles connexes:
- Vladimir Kolla, Founder de Patrowl : il est essentiel de simplifier la cybersécurité pour les RSSI
- Maxime Alay-Eddine, Cyberwatch : La pertinence de l’offre française devait inciter les RSSI à étudier de près les solutions du groupement Hexatrust
- Christian d’Orival, CryptoNext Security : La migration post quantique est en marche
- Lionel Doumeng, WithSecure : Nous avons changé de nom pour créer les solutions adaptées à la co-sécurité
- Pierre-Yves Hentzen, CEO de Stormshield : nous nous tenons auprès des RSSI pour les aider à protéger les les biens comme les personnes lorsqu’il s’agit de risques industriels
- Olivier Tireau, SentinelOne : Les technologies sont essentielles mais la cybersécurité, c’est avant tout un sport d’équipe !
- David Grout, Mandiant : Le challenge le plus important pour les RSSI reste de démontrer le bien-fondé des investissements
- Benjamin Leroux, Advens : Nous devons unir nos forces et nos talents pour renverser le rapport de force entre attaquants et défenseurs
- Giuseppe Brizio, Qualys Technologies SA : L’approche de la cybersécurité doit être basée sur l’analyse des risques et les impacts en cas de cyberattaques réussies
- Thomas Manierre, BeyondTrust : Nous pouvons travailler conjointement avec les RSSI et les équipes concernées
- Gerald Delplace, Imperva : Le défi pour les entreprises sera d’obtenir une véritable visibilité et un contrôle de leurs données dans différents environnements
- Bertrand De Labrouhe, Gigamon : face aux menaces, la visibilité est un des leviers principaux de l’atténuation du risque de ransomware
- Jean-Michel Tavernier, ARMIS : les entreprises ont besoin de connaitre l’ensemble de leur réseau
- Rémi Habraken, SYNETIS : Quand on construit sa feuille de route sécurité, il faut conserver un équilibre Technologie - People - Process
- Théodore-Michel Vrangos, I-TRACING : Notre objectif est de délivrer une sécurité avant tout opérationnelle
- Christian Guyon, Forcepoint : Le SASE est dans toutes les têtes et toutes les communications
- Laurent Tombois, Bitdefender : les entreprises doivent adopter des capacités de détection et de réponse
- Julian Gouez, HelpSystems : Les entreprises ont besoin d’une protection complète contre un large éventail de menaces
- Fatima Mesdour, Pentera : Les RSSI doivent « Révolutionner le processus de tests en cybersécurité »
- Olivier Spielmann Kudelski Security : la SSI est un travail d’équipe de confiance
- Alexandre Souillé, Président d’Olfeo : Nous souhaitons redonner de la sérénité aux DSI et RSSI dont l’anxiété s’accroît face à la menace omniprésente
- Nicolas Arpagian, Trend Micro : l’amélioration du pilotage de la SSI permet d’améliorer la conformité
- Clément Longépé, Make IT Safe : La cybersécurité et la conformité constituent de réels enjeux business
- Lucie Loos, Nameshield : Il est crucial de rappeler que le nom de domaine est la porte d’entrée sur le web
- Ghaleb Zekri, VMware France : le bien-être des salariés est une priorité que les RSSI devront prendre en considération
- Benoit Grunemwald, ESET : La connaissance de la menace et des acteurs malveillants est cruciale dans l’établissement de sa stratégie de défense et d’investissement
- Hervé Liotaud, SailPoint : Les programmes d’identités doivent être considérés comme un projet pleinement sécuritaire
- Arnaud Le Hung, BlackBerry : Les entreprises de sécuriser aussi les appareils considérées comme étant « hors de leur portée immédiate »
- Bernard Debauche, Systancia : La cybersécurité est une affaire globale de la gouvernance, aux risques, jusqu’aux les processus et outils
- Loïc Guézo, Proofpoint : La communication entre les RSSI et le conseil d’administration doit être plus que jamais mise en avant
- Jérôme Notin, www.cybermalveilance.fr : N’hésitez pas à faire parler de www.cybermalveillance.fr autour de vous, dans votre entourage tant professionnel que personnel !
- Daniel Benabou et Daniel Rezlan IDECSI : Notre promesse est de fournir une offre globale sur la sécurité des données
- Jean-Pierre Barré, WALLIX : Aujourd’hui, le PAM n’est pas un luxe, ou une option, c’est un prérequis
- Boris Lecoeur, Cloudflare : Nous souhaitons fournir aux RSSI une solution de cybersécurité tellement simple à implémenter et efficace face aux menaces, qu’elle s’en fait oublier
- Grégory Mauguin, SysDream : L’essence même de la SSI consiste à faire reposer la stratégie cyber sur une analyse de risques
- Dagobert Levy, TANIUM : Les RSSI doivent passer de l’image du blocker à celui d’enabler !
- Eric Fries, Allentis : Devant la complexité des menaces, les RSSI doivent gérer leurs priorités dans le bon ordre
- Olivier Morel, Inetum Software– Cybersecurity Solutions : Nous constatons une prise de conscience de la nécessité de protéger les identités et les accès sur le terrain
- Bernard Montel, Tenable : les entreprises doivent avoir une approche proactive, une hygiène cyber pour réduire le risque
- Nicolas Groh, Rubrik : le stockage est devenu le point central de l’entreprise et fédère les différentes fonctions de l’entreprise
- Frédéric Grelot, GLIMPS : Nous proposons une « eXtended Malware Analysis Platform » pour accompagner les RSSI dans leur stratégie de rationalisation des produits de cybersécurité
- Thiébaut Meyer, Google Cloud : Ne considérez le cloud public comme un risque mais comme une véritable opportunité pour la stratégie de cybersécurité
- Sumedh Thakar President et CEO de Qualys : Nous aidons les organisations à gérer les risques cyber, grâce à une plateforme unifiée qui permet de les mesurer, prioriser, et les contrer
- Xavier Mathis, Okta France : les RSSI doivent poursuivre leurs efforts de sensibilisation des COMEX aux problématiques de sécurité
- Les Assises 2022 : Pleins feux sur la Cyber assurance !