Avec la découverte récente de plusieurs vulnérabilités graves dans les packages de développement courants, la sécurité du développement d'applications est de plus en plus une priorité pour de nombreux responsables informatiques. Des événements comme la découverte de vulnérabilités dans Log4j, ainsi que d'autres vulnérabilités importantes qui ont depuis été identifiées, ont obligé les organisations à réfléchir longuement et attentivement à la façon dont elles mènent le développement d'applications afin d'améliorer leur état d'esprit et leur culture et, à terme, automatiser une approche « DevSecOps » de la gestion des changements SAP.
DevSecOps est un terme relativement nouveau dans le monde SAP et signifie développement, sécurité et opérations. Dans le passé, la sécurité était appliquée par une équipe isolée juste avant d'être mise en production. Cette approche obsolète est problématique, en particulier pour les organisations qui cherchent à adopter une approche agile pour gérer leur environnement SAP.
La méthodologie actuelle du « shift left » souligne l'importance d'identifier les problèmes potentiels le plus tôt possible dans le cycle de développement, afin de pouvoir les rectifier avant d'aller plus loin. C’est de cette approche qu’est née la vision du DevSecOps.
DevSecOps souligne la nécessité d'inclure la sécurité dès le début comme partie intégrante de l'ensemble du cycle de vie du développement. Cela nécessite d'intégrer les bons outils de sécurité dans le flux de développement, puis d'automatiser le processus pour garantir que le développement ne ralentisse pas.
Adopter une approche DevSecOps
Une façon de commencer à adopter une approche DevSecOps est d’investir dans les meilleures solutions de gestion des changements et de conformité de sécurité pour augmenter vos environnements de développement existants.
Tout d'abord, il est fortement recommandé de mettre en œuvre un outil de gestion des changements qui crée un processus de flux de travail exécutoire. Il doit être capable de gérer tous les changements depuis leur création lors du développement – en passant par le processus complexe de sécurité et de test jusqu'à leur mise en production finale en toute sécurité.
Ensuite, vos équipes ont besoin d'un outil d'analyse de code automatisé capable d'analyser en profondeur le code SAP pour détecter les problèmes affectant la sécurité, la conformité, les performances, la robustesse, la maintenabilité et même la perte de données.
Les bonnes pratiques imposent que ces solutions s'intègrent de manière significative pour optimiser leur utilité et leur efficacité tout en encourageant l'adoption par vos équipes. En créant une solution DevSecOps transparente, vos équipes peuvent intégrer la sécurité de manière inconsciente dans le cadre même de leur processus de développement.
Que se passe-t-il lorsque vous intégrez ces technologies dans vos processus de développement ?
- La sécurité est automatiquement intégrée à votre processus de gestion du changement.
- Des contrôles de sécurité sont déclenchés à plusieurs moments du cycle de développement pour garantir que les vulnérabilités et les problèmes de code sont détectés (et corrigés) le plus tôt possible.
- Le code non conforme ne peut pas progresser dans le paysage.
- Le processus de gestion du changement est simplifié puisque le bon outil est automatiquement sollicité au bon moment.
- Le CAB et les chefs de produit peuvent approuver en toute confiance les versions de production, sachant que les modifications ont été soumises à un processus de contrôle de sécurité rigoureux.
La solution Rev-Trac / Onapsis
Rev-Trac a récemment formé un partenariat stratégique avec Onapsis, le partenaire choisi par SAP pour la cybersécurité, pour proposer au marché une solution SAP DevSecOps intégrée et de pointe. Cette intégration de transfert avec les produits phares d'Onapsis, Control for Code et Control for Transports, utilise une approche « shift left » pour identifier les vulnérabilités de sécurité et les problèmes de code avant que les transports ne soient libérés du système de développement.
Dans le cadre du flux de travail de développement, Rev-Trac transmettra automatiquement les objets et les transports à Onapsis Control pour une analyse approfondie, puis attendra un résultat. Si le résultat est positif, Rev-Trac poursuit son flux de travail. Cependant, si le résultat est négatif, les transports ne pourront pas progresser jusqu'à ce que les développeurs aient corrigé les problèmes.
Pour les équipes SAP qui adoptent cette solution intégrée, les avantages sont nombreux et incluent :
- Les vulnérabilités de sécurité sont automatiquement détectées lors du développement bien avant qu'elles puissent nuire au système de production ;
- Les rapports de sécurité instantanés signifient une résolution rapide des problèmes de développement ;
- L'agilité et la sécurité vont désormais de pair lors de la mise en œuvre des modifications SAP ;
- CAB a l'esprit tranquille en sachant que tout le code a été examiné pour détecter les vulnérabilités de sécurité ; et
- Le retour sur investissement de l'ensemble des outils de développement est maximisé grâce aux capacités de flux de travail applicables et personnalisables de Rev-Trac.
En savoir plus sur Onapsis
Onapsis protège les applications critiques qui font tourner l’économie mondiale. L'offre de cybersécurité de la société, The Onapsis Platform, offre de manière unique une gestion des vulnérabilités, une détection et une réponse aux menaces, des tests de sécurité des applications et une conformité continue pour les applications critiques pour l'entreprise des principaux fournisseurs tels que SAP, Oracle et d'autres plates-formes SaaS.
Leur technologie s'appuie sur les informations sur les menaces et les informations des laboratoires de recherche Onapsis, l'équipe responsable de la découverte et de l'atténuation de plus de 800 vulnérabilités Zero Day dans les applications critiques de l'entreprise.
