Conseil et expertise

Accompagnement DevSecOps d'un opérateur télécom

Informations clés

Mois d’intervention :
5
Consultants :
2
Secteur :
Télécom
Ville / Pays :
Rouen, France
Nombre de salariés :
400 et 25 développeurs
Keyword Techno :
#DevSecOps #AppSec #Sensibilisation
Contexte

Cyberlift a accompagné un opérateur télécom dédié aux entreprises, qui souhaitait intégrer une démarche proactive de sécurité dans son processus de développement.

Dans cette optique, la Direction souhaitait :

  • Évaluer le niveau de risque en matière de sécurité dans leurs projets de développement logiciel et identifier des recommandations pour une amélioration durable.

  • Sensibiliser et former les équipes de développement à l'intégration de la sécurité dès les premières étapes du développement (Shift-Left).

  • Structurer et améliorer le suivi des indicateurs de sécurité pour garantir une progression mesurable.

Pour répondre à ces enjeux, Cyberlift a été mandaté pour mener un audit complet, former les équipes et accompagner l'entreprise dans l'élaboration d'une feuille de route en matière de sécurité.

Besoins

L’enjeu était d’arriver à renforcer la sécurité dès les premières étapes de développement en intégrant durablement les pratiques DevSecOps sans pour autant démultiplier les coûts.

Cela nécessitait un audit complet pour évaluer la maturité des pratiques actuelles et permettre de formaliser des recommandations personnalisées qui assurent le meilleur retour sur investissement et qui anticipent les futures obligations réglementaires, telles que la directive NIS 2.  

La direction souhaitait également harmoniser et formaliser les pratiques au sein des équipes de développement, avec un accompagnement adapté à leur contexte et leur taille.

Challenges

  • Autonomie élevée des développeurs

Les équipes de développement fonctionnaient avec une grande indépendance, ce qui compliquait la mise en place de processus sécurisés uniformes et leur adoption à l’échelle de l’organisation. Une approche pédagogique adaptée était indispensable pour maximiser l'impact.

  • Hétérogénéité des pratiques et absence de standardisation

Les pratiques de sécurité variaient fortement d’une équipe à l’autre. Bien que certaines initiatives soient en place, elles manquaient souvent de documentation et de formalisation, rendant leur adoption inégale.

  • Référents sécurités non spécialisées

Les référents sécurités désignés étaient des développeurs motivés mais sans expertise approfondie en cybersécurité. Cette situation nécessitait une montée en compétences progressive et un accompagnement spécifique pour les rendre pleinement opérationnels.

Solutions

1. Audit 360° et priorisation des recommandations

  • Réalisation d’un audit 360° DevSecOps basé sur le Framework SAMM (Security Assurance Maturity Model).

  • Élaboration d’un plan de remédiation contextualisé, priorisant les actions selon leur impact sur la sécurité et leur complexité d'implémentation.  

  • Livraison d’une synthèse managériale claire pour guider les décisions stratégiques.

2. Sensibilisation et montée en compétence

  • Formation interactive sur les vulnérabilités du Top 10 OWASP, incluant des démonstrations d'attaques, des ateliers de code review et de modélisation des menaces (Threat Modelling).

  • Création d’un toolkit pédagogique, regroupant fiches réflexes, exemples de pipelines sécurisés et checklists de sécurité.

3. Mise en place d’indicateurs de suivi de la sécurité

  • Définition de KPIs pour mesurer l’adoption des pratiques de sécurité et suivre les progrès réalisés sur le plan technique et organisationnel.

  • Accompagnement à l’intégration des indicateurs dans la roadmap de sécurité.

Résultats et bénéfices

  • Amélioration de la visibilité sur les risques

Grâce à l’audit, notre client bénéficie désormais d’une vision claire des pratiques à renforcer et des risques associés, facilitant l’établissement d’une roadmap stratégique pragmatique.

  • Adoption renforcée des outils sans perturber la culture d’autonomie

Les actions proposées dans le plan de remédiation prenaient en considération l’expérience développeur (DevEx), ce qui a permis d’accroître l’adoption des outils de sécurité tout en conservant l’autonomie des développeurs.

  • Adoption progressive des pratiques sécurisées

Grâce à la formation et à la sensibilisation, les équipes de développement disposent désormais des outils et des connaissances nécessaires pour intégrer la sécurité dès les phases initiales du développement.

  • Amélioration continue avec des indicateurs précis

Les KPIs proposés permettent à l'entreprise de suivre l’évolution de la maturité de ses pratiques DevSecOps et de la mise en place du plan stratégique.

Le client a exprimé sa satisfaction concernant la clarté et la pertinence des documents livrés, soulignant leur utilité pour construire une roadmap de sécurité adaptée à leurs besoins.

Le projet a permis à cette entreprise d’initier une transformation en profondeur de ses pratiques DevSecOps, posant les bases d’une culture de sécurité durable et proactive.

Nos missions

Audit et conformité
Accompagnement à la mise en conformité NIS 2
Cyber des PME
Sensibilisation et campagnes de phishing au sein d'une LegalTech
Conseil et expertise
Consolidation du périmètre OT d'un grand groupe français
Conseil et expertise
Sécurisation de l'environnement Azure du leader mondial de l'industrie française
Conseil et expertise
Mise en place d'un Datalake sécurité
Conseil et expertise
Accompagnement DevSecOps d'un opérateur télécom
Audit et conformité
Audit sécurité 360° d'une marque de prêt-à-porter

Nos offres

Nous vous accompagnons dans la sécurisation de votre système d’information, de la stratégie à la réalisation, avec le souci de l’excellence opérationnelle.

Conseil et expertise
Audit et conformité
Sensibilisation et formation
Cyber des PME

Secure your business

Contactez-nous et prenez rendez-vous dès aujourd’hui pour recevoir un devis gratuitement.
Nous contacter
Expertise
Conseil et expertiseAudit et conformitéSensibilisation et formationCyber des PME
Contactez-nous
Ressources
Nos actualitésNos REX
On recrute !
Qui sommes-nous ?Nous rejoindre
Postuler
Suivez-nous
Mentions légales