Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Olivier Mélis, Checkmarx : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle

octobre 2022 par Marc Jacob

A l’occasion des Assise, Checkmarx présentera sa plate-forme de sécurité applicative Checkmarx One spécifiquement conçue pour la pile technologique, les processus, les vulnérabilités et les risques actuels. De plus, mettra en avant sa nouveauté, Checkmarx Fusion, un moteur de corrélation contextuel qui offre une visibilité sur les applications, les interactions des composants et les nomenclatures logicielles. Son atelier sera le retour d’expérience de SANOFI qui montrera comment mesurer son niveau de maturité AppSec et démarrer une démarche DevSecOps ou migrer du DevOps au DevSecOps sans perte de productivité.
Olivier Mélis, Regional Sales Director France & Benelux de Checkmarx considère qu’Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises ?

Olivier Mélis : Nous présenterons Checkmarx One, la plate-forme de sécurité applicative la plus complète du marché spécifiquement conçue pour la pile technologique, les processus, les vulnérabilités et les risques actuels. Elle intègre l’analyse de code statique (SAST), l’inventaire des Open Source (SCA), l’analyse dynamique en temps réel des applications en cours d’exécution (IAST), l’analyse des IAC (Infrastructure as Code), l’analyse des containers et la formation des développeurs, pour intégrer la sécurité à l’ensemble des étapes du cycle de développement logiciel. Checkmarx permet de gérer les risques de sécurité logicielle à la vitesse DevOps (automatisation et scans incrémentaux), en mettant les applications en production rapidement et en toute sécurité sans interrompre les flux de travail des développeurs.

Nous présenterons également notre nouveauté, Checkmarx Fusion, un moteur de corrélation contextuel qui offre une visibilité complète sur les applications, les interactions des composants et les nomenclatures logicielles. Cette vue holistique des résultats des scans de sécurité à toutes les étapes du cycle de vie du logiciel permet de corréler et de hiérarchiser les vulnérabilités, orientant de prime abord vers la remédiation des problèmes les plus critiques. Checkmarx Fusion est intégré à Checkmarx One.

GS Mag : Quel sera le thème de votre conférence cette année ?

Olivier Mélis : Le DevSecOps : quels sont les avantages d’une plateforme unifiée de sécurité applicative, avec le témoignage de notre client SANOFI. Plus concrètement nous expliquerons comment mesurer son niveau de maturité AppSec et démarrer une démarche DevSecOps ou migrer du DevOps au DevSecOps sans perte de productivité. Sanofi apportera son témoignage sur l’approche organisationnelle holistique nécessaire pour accompagner un tel projet et l’importance de l’onboarding des équipes.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2022 ?

Olivier Mélis : Le développement des cyberattaques et les risques et conséquences associées à un code défectueux ou à des configurations d’infrastructures erronées se sont considérablement développés. Nous assistons également à de plus en plus d’attaques ciblant la supply chain logicielle via les environnements open source, traditionnellement approuvés par la communauté mondiale des développeurs. Cette nouvelle réalité a renforcé l’intérêt des entreprises pour le DevSecOps ou plus précisément pour la mise en place de tests sécurisés et règlementés tout au long du cycle de vie applicatif mais aussi pour plus de garanties sur les composants Open Sources utilisés.

GS Mag : Quid des besoins des entreprises ?

Olivier Mélis : La démarche DevOps et son corollaire le DevSecOps requièrent des processus de collaboration et se heurtent donc à des organisations très silotées entre la production, le développement, la sécurité et les réseaux. De plus, les intervenants ne sont pas forcément en relation avec les métiers pourtant donneurs d’ordre réguliers pour des applications visant à améliorer le business de l’entreprise. Dans la plupart des cas, la rapidité d’exécution prime souvent sur la sécurité. Pour résumer : le manque de ressources, de compétences et de budgets constituent les principaux freins à l’adoption d’une approche DevSecOps dans les entreprises.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Olivier Mélis : Faire émerger une culture AppSec nécessite de rééquilibrer les besoins au sein de l’organisation dans sa globalité, en offrant une sécurité transparente dans l’ensemble du SDLC. Cela passe par la mise en place d’une plateforme unique et automatisée de bout-en-bout pleinement intégrée dans les pipelines CI/CD et DevOps. Mais cela passe aussi par l’implication des développeurs et le partage des responsabilités. Au plus près du code, les développeurs doivent disposer de moyens renforcés – des outils comme des formations - qui leur permettront de fournir du code sécurisé. Avec la complexité des applications modernes – qui incluent le code source, le code open source, l’infrastructure as code, les conteneurs, etc. – ils ont également un besoin critique de visibilité sur la façon dont les composants applicatifs interagissent mais aussi d’une approche contextualisée et hiérarchisée des vulnérabilités applicatives, des fonctions qui font défaut dans les solutions AST et ASOC (Application Security Orchestration and Correlation) présentes sur le marché.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Olivier Mélis : Le télétravail a accéléré la transformation digitale des entreprises. Ces dernières, pour répondre aux besoins des métiers et des clients, ont besoin d’applications robustes et sécurisées dès leur conception. Nous les accompagnons dans l’automatisation de la sécurité sur l’ensemble du cycle de vie du développement logiciel afin de garantir la qualité de leurs applications dont celles servant le télétravail.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Olivier Mélis : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle pour éviter qu’une application non sécurisée n’arrive en production, traiter les principales menaces impactant le code source, l’open source, l’Infrastructure as code, les API etc…

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Olivier Mélis : Toute entreprise est une entreprise logicielle, construite par des développeurs. Cette citation de Satya Nadella, CEO de Microsoft possède une résonnance très forte. Une entreprise est bel et bien poussée vers la croissance par ses développeurs qui réussissent à transformer des idées en livrables performants pour les clients. Checkmarx est le partenaire qui les accompagne on premise ou dans le cloud dans la protection du code et ce, quel que soit leur degré de maturité.

 Pour tout renseignement : Olivier Melis - olivier.melis@checkmarx.com


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants