Retour d'expérience d'intégration des principes de sécurité dans un cycle de développement logiciel
Dans un contexte où la livraison de nouvelles fonctionnalités des produits ou services doit se faire rapidement pour lutter commercialement, les principes de sécurité ne doivent pas laissés sur le bord de la route. Au regard des aspects sécurité, les nouveaux modèles d’organisation (agilité, DevOps) sont à la fois une opportunité et un risque par rapport au traditionnel cycle en V. Cela nécessite une intégration des principes de sécurité de manière systématique et la plus automatisée possible dans le cycle de développement logiciel. Ceci requiert un engagement managérial fort qui pourra engendrer à terme une maturité organisationnelle, humaine et technique. Nous présenterons dans cet article un retour d’expérience de 10 ans d’intégration et d’automatisation des principes de sécurité dans un cycle de développement logiciel de services Web grand public d’un opérateur français.
In a period where new features have to be delivered fast to the customers, security principles have to be properly implemented. Regarding security, new organisation models (agility, DevOps) are both a chance and a risk in regards to traditional ways of project management. It requires security aspects to be implemented in a systematic and automatic ways in software development lifecycle. Strong management support is a prerequisite as it should lead to improve organisational, human and technical maturity. In this article, we will discuss a 10+ years experience return about integrating security principles in a software development lifecycle of a French telco public-facing web services.