Matinale IT for Business - DevSecOps: quand l'agilité rime avec la sécurité

Publié le 05/07/2022 Security Sigstore Tekton Chains

J’ai été interviewé par le magazine IT for Business sur le sujet “DevSecOps: quand l’agilité rime avec la sécurité”.

Mon intervention commence à 47 minutes et 10 secondes et j’ai pu répondre aux questions suivantes :

Quel constat chiffré en tirer ?
Les entreprises deviennent-elles plus transparentes quant aux attaques qu’elles ont subies ?
Comment améliorer la protection de la supply chain ?
En quoi la signature de code permet de renforcer la sécurité du pipeline ?
Comment le monde open source peut être un modèle pour les logiciels propriétaires ?

Quelques constats chiffrés :

Pour 46% des répondants, la principale priorité d’investissement pour les DSI est la sécurité. (source : Red Hat 2022 Global Tech Outlook)
La gestion des vulnérabilités fait partie des priorités d’investissement pour 27% des répondants. (source : Red Hat 2022 Global Tech Outlook)
Les pratiques et outils permettant de sécuriser le développement a été placé dans le top 3 des initiatives pour 25 % des répondants. (source : Red Hat 2022 Global Tech Outlook)
Mais de manière surprenante, la sécurité de la supply chain n’est dans le top 3 des priorités que pour 10 % des répondants. (source: Red Hat 2022 Global Tech Outlook)
97% des bases de codes auditées par la société Synopsys contiennent au moins un composant Open Source. (source : Open Source Security and Risk Analysis 2022, page 6)
22% des développeurs Open Source signent leur code de manière systématique. (source : Report on the 2020 FOSS Contributor Survey, page 64)

Mon intervention a été reprise par les journalistes dans certains tweets :

🔴[EN DIRECT] : « 97% des bases de codes auditées comportaient un composant open source, ces composants il faut les sécuriser » - @nmasse_itix, Solution Architect - @RedHatFrance #IT4B #devops #cybersecurity #sre #softwaredev #sécurité #developpementapplicatif pic.twitter.com/gUn2aN4lwc
— IT for BUSINESS (@ITforB) July 5, 2022

Nicolas Masse (Red Hat, Solution Architect) : « 46% des DSI considèrent que leur top priorité est la sécurité, mais seuls 10% évoquent la sécurité de la supply chain »@nmasse_itix @RedHatFrance @ITforB pic.twitter.com/FUnLLyKDmR
— thierryderouet (@thierryderouet) July 5, 2022

Nicolas Masse (Red Hat, Solution Architect) : « La RGPD aide les entreprises à communiquer sur les attaques, les communautés open source elles sont transparentes »@nmasse_itix @RedHatFrance @ITforB pic.twitter.com/Uj33LPEdEF
— thierryderouet (@thierryderouet) July 5, 2022

Nicolas Masse (Red Hat, Solution Architect) : « 97% des bases de codes auditées comportaient un composant open source, ces composants il faut les sécuriser » @nmasse_itix @RedHatFrance @ITforB pic.twitter.com/o1q2sQsFtD
— thierryderouet (@thierryderouet) July 5, 2022

Nicolas Masse (Red Hat, Solution Architect) : « Seulement 22% des codes Open Source sont signés »@nmasse_itix @RedHatFrance @ITforB pic.twitter.com/0bhuo3RIKW
— thierryderouet (@thierryderouet) July 5, 2022