in Sécurité

Rohde & Schwarz Cybersecurity dévoile sa stratégie DevSecOps et lance R&S®Trusted Application Factory

Rohde & Schwarz Cybersecurity, le spécialiste de la sécurité informatique, va plus loin dans l’innovation en lançant R&S Trusted Application Factory, fer de lance de sa stratégie de sécurisation des applications de demain visant à aider et accompagner les équipes DevSecOps.

La transformation numérique des entreprises

La transformation numérique concerne toutes les entreprises. L’intégration des nouvelles technologies telles que le Cloud oblige les entreprises à innover et mettre au point des solutions évolutives. Par ailleurs, ces derniers mois, la crise sanitaire a confirmé la nécessité d’investir massivement dans la transformation numérique. Les entreprises ont été contraintes d’investir en urgence dans leur infrastructure. On a constaté une forte demande pour sécuriser les accès à distance aux réseaux des entreprises. Le recours aux applications en mode SaaS et dans le Cloud pour la vidéo-conférence et le travail collaboratif oblige à de se poser des questions sur la sécurité, notamment des applications et des données personnelles et sensibles.

Traditionnellement, la création et la mise en œuvre de nouvelles applications prenait environ un an. Aujourd’hui, un grand nombre d’organisations adoptent un mode d’intégration et de déploiement continu. Désormais, le cycle s’est raccourci notamment grâce au DevOps qui s’appuie sur l’automatisation et la mise en commun de compétences complémentaires pour augmenter la valeur ajoutée et la réactivité des entreprises.

Une stratégie qui vise les développeurs

La stratégie de Rohde & Schwarz Cybersecurity vise à aider les équipes de DevOps à intégrer la sécurité applicative dès la phase de design, en intégrant les capacités de contrôle au sein même de leurs APIs et applications. Rohde & Schwarz Cybersecurity propose des technologies WAF depuis une vingtaine d’années. Désormais, l’entreprise rend ses technologies consommables par des développeurs. Elle propose des outils qui s’intègrent dans l’environnement et les outils déjà existants, et qui utilisent les mêmes langages et technologies de l’univers DevSecOps. C’est dans ce contexte que Rohde & Schwarz Cybersecurity lance R&S Trusted Application Factory.

Intégrer la sécurité au cœur des applications

R&S Trusted Application Factory est une solution qui s’adresse aux équipes DevSecOps avec pour objectif d’apporter de la sécurité, de la simplicité et de la visibilité.

  • Sécurité : en intégrant la sécurité au plus près de l’application, il est possible de définir une sécurité plus précise et plus pertinente. Cette couche de sécurité est déployée sous forme de micro-WAF pour pouvoir monter à l’échelle ou la faire évoluer en même temps que l’application. Le fait même d’inclure la configuration de la sécurité à l’intérieur même du code de l’application permet de conserver en permanence une sécurité à jour et alignée avec la version de l’application.
  • Simplicité : Pour simplifier la collaboration, il faut intégrer la solution de sécurité dans l’univers des équipes DevSecOps. Ainsi, il faut utiliser les mêmes outils, langages et concepts.
  • Visibilité : Il est nécessaire de fournir de la visibilité aux différents utilisateurs et responsables : développeurs, infrastructure et sécurité. R&S Trusted Application Factory suit l’application de sa conception à son exécution en production, et fournit des indicateurs sur sa sécurité tout au long de son cycle de vie.

Le service de sécurité applicative de R&S Trusted Application Factory est déployé sous forme de container pour chaque application. Ce container peut donc « évoluer » en même temps que l’application dans des clusters Kubernetes ou Docker. Il peut ainsi s’adapter automatiquement à la charge de l’application. Il accompagne également l’application et peut se déployer aussi bien on-premise que sur le Cloud privé ou public. L’ensemble des services est géré depuis une console SaaS d’administration qui permet de superviser la sécurité des différentes applications.

La solution s’appuie sur le concept de « Context Description » pour améliorer le niveau de sécurité. En effet, les données propres à chaque application et à la disposition des équipes de développement sont essentielles pour la configuration de la sécurité. On note que le type de persistance utilisée, le langage de programmation, le système d’exploitation du serveur et les formats de données permettent d’adapter automatiquement les politiques de protection en invoquant les moteurs adaptés. En prenant en compte tous ces éléments, on obtient une sécurité accrue et une diminution du risque de faux positifs.

R&STrusted Application Factory permet d’aller plus loin en fournissant du contexte sur chaque ressource : les pages d’une application web ou les end points des API REST. L’équipe DevSecOps peut spécifier le format, la taille maximale des requêtes et des réponses, le comportement de la page en s’appuyant sur l’extension des schémas Open API qui offre la possibilité de documenter très précisément les API.

R&S Trusted Application Factory est désormais disponible avec une version destinée à lancer des projets pilotes de la phase de développement à la production. Elle intègre les principaux concepts clés tels que : Context Description, le service de micro-WAF sous forme de container, la définition des exceptions de sécurité dans le code de l’application et le suivi des services. Toutes ces fonctionnalités seront constamment enrichies pour prendre en compte les retours des équipes DevSecOps.

« Nous innovons avec le concept de micro-WAF. Ainsi les moteurs de sécurité sont au plus proche de l’application, quel que soit le mode de déploiement, au travers d’un container. L’idée est d’avoir un WAF le plus petit possible. L’avantage du micro-service est que l’application sera plus facilement mise à jour et plus évolutive. L’ensemble peut être administré depuis une console SaaS sans que le client n’ait besoin de gérer toutes les actions d’administrations. L’équipe DevSecOps n’a plus besoin derentrer dans la profondeur fonctionnelle du WAF puisque les informations contextuelles se traduisent automatiquement en politique de sécurité. Elle dispose ainsi d’outils pour adapter, de manière automatisée, la politique de sécurité et ce directement dans leur environnement de travail », explique Stéphane de Saint Albin, Vice-Président, Application & Cloud Security et Président, Rohde & Schwarz Cybersecurity SAS.  « En offrant des outils innovants qui s’adaptent aux enjeux et besoins desdéveloppeurs, Rohde & Schwarz accompagne la transformation digitale tout en garantissant une sécurité forte sur l’ensemble des outils utilisés par les entreprises »,ajoute-il.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.