Concepts et Principes
C'est l'acronyme de "Development", "Security" et "Operations".
Qu'est-ce que DevSecOps ?
Cet outil de gestion de version permet aux équipes de travailler ensemble sur des projets de développement logiciel.
Qu'est-ce que Git ?
C'est l'approche qui consiste à mettre à jour fréquemment et par petites étapes les logiciels, les systèmes et les infrastructures.
Qu'est-ce que le "Continuous Integration" ou "Integration continues" ?
C'est le type d'attaque qui consiste à exploiter une faille de sécurité dans un logiciel pour accéder à des informations sensibles ou compromettre un système.
Qu'est-ce qu'une "exploitation de vulnérabilité" ?
C'est le règlement européen qui renforce la protection des données personnelles des citoyens de l'Union européenne.
Qu'est-ce que le RGPD (Règlement Général sur la Protection des Données) ?
Cette approche met l'accent sur la collaboration, la communication et l'intégration entre les équipes de développement et d'exploitation.
Qu'est-ce que l'approche DevOps ?
Ce logiciel d'intégration et de déploiement continu automatise la construction, les tests et le déploiement d'applications.
Qu'est-ce que Jenkins ?
Ce type de test automatise l'évaluation de la conformité d'un logiciel à ses exigences fonctionnelles et non fonctionnelles.
Qu'est-ce que les tests automatisés ?
Cette attaque cible les applications web en injectant du code malveillant dans les champs de saisie de données utilisateur.
Qu'est-ce qu'une attaque par injection SQL ?
Cette autorité française est chargée de la protection des données personnelles et de la vie privée.
Qu'est-ce que la CNIL (Commission Nationale de l'Informatique et des Libertés) ?
Ce concept est un élément clé de DevSecOps et consiste à intégrer la sécurité dès le début du cycle de développement logiciel.
Qu'est-ce que "Security by Design" ou "Sécurité dès la conception" ?
Cet outil d'automatisation des infrastructures permet de déployer et de gérer des serveurs et des services cloud.
Qu'est-ce que Terraform ?
C'est l'ensemble des pratiques qui vise à minimiser les risques de sécurité liés aux dépendances logicielles tierces.
Qu'est-ce que la gestion des dépendances sécurisées ?
C'est le type d'attaque qui exploite la confiance entre deux parties pour intercepter et manipuler les communications.
Qu'est-ce qu'une attaque "Man-in-the-Middle" ?
C'est une directive européenne qui vise à garantir un niveau élevé de sécurité des réseaux et des systèmes d'information dans l'Union européenne.
Qu'est-ce que la Directive NIS (Network and Information Security) ?
Cette approche implique de traiter les problèmes de sécurité en continu, plutôt que de les corriger après coup.
Qu'est-ce que le "Continuous Security" ou "Sécurité continue" ?
Ce scanner de vulnérabilités open-source peut être intégré dans le pipeline DevSecOps pour identifier les failles de sécurité.
Qu'est-ce que OWASP ZAP ?
Cette pratique vise à partager les responsabilités en matière de sécurité entre toutes les parties prenantes d'un projet, y compris les développeurs, les opérateurs et les spécialistes de la sécurité.
Qu'est-ce que "Shared Security Responsibility" ou "Responsabilité partagée de la sécurité" ?
Cette menace résulte de l'utilisation de composants logiciels obsolètes ou non sécurisés dans un projet de développement.
Qu'est-ce que la menace des "dépendances non sécurisées" ?
Cet organisme européen est chargé de la coopération entre les autorités nationales de protection des données et de la promotion de la cohérence dans l'application des règles de protection des données dans l'UE.
Qu'est-ce que le Comité européen de la protection des données (CEPD) ?
C'est le processus d'identification et de hiérarchisation des menaces pour un système d'information.
Qu'est-ce que le "Threat Modeling" ou "Modélisation des menaces" ?
Ce service de gestion des conteneurs permet d'automatiser le déploiement, la mise à l'échelle et la gestion des applications conteneurisées.
Qu'est-ce que Kubernetes ?
Cette approche consiste à donner aux équipes les moyens de déployer et de gérer leur propre infrastructure, tout en veillant à ce qu'elles respectent les politiques et les normes de sécurité.
Qu'est-ce que "Infrastructure as Code" ou "Infrastructure en tant que code" ?
Ce type d'attaque vise à épuiser les ressources d'un système en le surchargeant de requêtes ou de trafic réseau.
Qu'est-ce qu'une attaque DDoS ?
Ce règlement européen impose des obligations spécifiques en matière de cybersécurité aux opérateurs de services essentiels et aux fournisseurs de services numériques.
Qu'est-ce que le Règlement (UE) 2019/881 sur la cybersécurité (Cybersecurity Act) ?