Compte-rendu 2 Juin à Sophia Antipolis : les sujets de discussion

Document created by Leif Kremkow Employee on Jun 7, 2017Last modified by Leif Kremkow Employee on Jun 7, 2017
Version 2Show Document
  • View in full screen mode

Organisée par Qualys, ce déjeuner s'inscrit dans une série de rencontres entre utilisateurs, afin de faciliter l'échange sur et autour du sujet "Qualys". Plus d’information sur l'agenda 2017 du Qualys User Group France.

 

De nombreux clients ont répondu présents à notre déjeuner du 2 juin lors duquel nous avons échangé sur Struts, WannaCry, la GDPR, et le DevOps.

 

WannaCry

Premiers constats sur lesquels nous n’avons pas épilogué :

  • Les systèmes d'information ont évolué
  • Les impacts de WannaCry n'étaient que faibles voire nuls
  • Les organisations qui avaient patché n’ont pas subi d’incidents

 

En plaisantant, nous sommes arrivés à la conclusion que WannaCry était l’épreuve Darwinienne des systèmes d'informations : leurs capacités à évoluer et à changer ont été mises à l’épreuve.

 

La GDPR

Avec la mise conformité requise par la GDPR, PCI-DSS devient un référentiel pour sa facilité de mise en œuvre. “Au moins les exigences sont claires !”

Il y a quelques années, on se souvient qu’à la publication du PCI-DSS, les réactions tendaient plutôt vers sa critique, car trop complexe/difficile alors à mettre en œuvre.

 

Sur le fond nous sommes tous tombés d’accord, la GDPR est simple à comprendre, mais difficile à interpréter car le risque redouté est d’être accusé de ne pas en avoir fait assez. L’obligation de résultat est difficile à atteindre car la réalité c’est que l’entreprise ne peut anticiper tous les risques et incidents.

 

Tout est alors une question d'analyse de risque : savoir identifier et peser -selon les priorités de l'entreprise- et garder comme objectif de progresser en permanence. Chaque incident, chaque défaillance, doit donner lieu à une amélioration des procédures du système d'information. Cela rappelle ISO27000 et son Système de Management de la Sécurité de l'Information.

 

 

Le DevOps s’installe

Questionnés sur la réalité du DevOps, les avis sont tranchés : “nous y allons !”

 

C’est une transformation de l’organisation de l’entreprise qui se heurte à une inertie considérable mais le gain en agilité l’est aussi ! On parle de la durée de vie d’une application métier qui est souvent en dessous du temps nécessaire à la mise en production classique avec les étapes chronophages de la définition du besoin, d'approvisionnement des ressources, de l’élaboration de l’application, des tests de qualité, puis de la mise en production.

 

Le gain réel se fait sur  l'efficacité de la sécurité qui devient nativement imbriquée dans  l'intégration continue. Le must ? Les scans applicatifs web qui génèrent automatiquement pour les développeurs des demandes de changement avant mise en production.

 

Si une intégration du service Qualys Web Application Scanning est possible avec des outils comme JIRA, encore faut-il pouvoir définir automatiquement le type de changements nécessaires. Comme d’habitude, ce n’est pas un problème d’outil, mais de process.

Si c’est aisé dans le domaine des infrastructures, (exemple : intégration dans Information Technology Service Management (ITSM) de ServiceNow), l’expertise humaine est encore nécessaire dans le domaine des applications web.

 

Et les clients dans tout cela ? “Ils ne nous demandent rien : prennent un scanneur, lancent leurs tests contre les applications -même s'ils n'ont pas le droit-  et nous présentent les rapports pour exiger des correctifs !”

Attachments

    Outcomes