Lors d'un récent webinaire organisé par CyberRisk Alliance, trois experts en sécurité de Fastly se sont réunis pour analyser l'une des plus grandes tensions dans le développement de logiciels modernes : l'équilibre entre la rapidité du DevOps et la rigueur de la sécurité. Modéré par Adrian Sanabria de la Defenders Initiative, la discussion a présenté les informations de Liam Mayron, Principal Product Manager, Daniel Corbett, Principal Product Technology Manager, et Simran Khalsa, Staff Security Researcher - tous chez Fastly. Voici un résumé de la discussion. Regardez le webinaire dans son intégralité.
Parmi les nombreux défis auxquels sont confrontées les équipes DevOps, l’un des plus grands est d’intégrer des tests de sécurité complets et efficaces, tout en évitant de ralentir l’ensemble du processus. Les tests de sécurité ajoutés tardivement dans le cycle de version introduisent souvent des goulots d'étranglement, créent des frictions entre les équipes et peuvent donc laisser passer des erreurs de sécurité inaperçues — jusqu'à ce qu'il soit trop tard.
Le simulateur pare-feu d’applications web de Fastly a été conçu pour changer cela. Cet outil réinvente la manière dont les équipes DevOps et de sécurité valident les règles du pare-feu d’applications web (WAF) en permettant des tests de sécurité intégrés, continus et automatisés, sans interrompre le flux de développement.
Après toutes ces années, la sécurité reste un goulot d'étranglement
Pour beaucoup, les tests de sécurité sont presque une réflexion après coup. Cela perturbe les cycles de développement, ralentit les sorties de produits et est certain de mettre à rude épreuve les relations entre les équipes de développement et de sécurité. C’est une histoire classique : les mandats de sécurité arrivent en retard, cassent quelque chose ou ne s'alignent tout simplement pas avec les objectifs du produit. Et pire encore, lorsque des contrôles de sécurité sont ajoutés, ils ne sont pas toujours validés, ce qui conduit à des règles qui ne protègent en fait rien.
Pour aggraver les choses, les équipes DevOps se voient souvent attribuer des responsabilités en matière de sécurité sans disposer des outils adéquats. « J’ai vu les deux modèles », a expliqué Liam « Parfois, les développeurs prennent l'initiative de gérer la sécurité de manière proactive ; d'autres fois, la sécurité leur est simplement imposée sans soutien. »
L'Origine du Simulateur WAF
Comme ce fut le cas pour Liam, Daniel et Simran, ils ont également vu cette douleur de leurs propres yeux. Les développeurs n'étaient pas sûrs que leurs règles WAF fonctionnaient réellement et, pendant longtemps, les équipes de sécurité n'avaient aucun moyen facile de valider les règles WAF, à part attendre le prochain test d'intrusion ou, pire, une attaque réelle.
Des besoins internes et des retours des clients, une lacune évidente est apparue : les équipes avaient besoin d’un moyen de tester les règles de sécurité comme elles testent leur code. Lors de la recherche, un schéma est apparu parmi les équipes DevOps interrogées par Fastly, révélant le besoin de validation avant la production, de visibilité au niveau des règles, de tests unitaires intégrés et de support pour les règles WAF par défaut et personnalisées.
Ainsi, le simulateur Fastly WAF a vu le jour !
Le simulateur Fastly WAF permet aux utilisateurs de saisir des exemples de requêtes et de réponses et de voir, en temps réel, comment le pare-feu d’applications web va réagir. Il s’agit d’une approche API-first, qui prend en charge les tests basés sur l’interface utilisateur pour les flux de travail exploratoires et s’intègre de manière fluide dans les pipelines CI/CD.
Les principales fonctionnalités comprennent :
Simulation de requête/réponse pour tester le comportement attendu des règles
Visibilité sur les signaux basés sur des règles, y compris l’analyse des bots, l’application de la logique métier et les codes d’état de blocage
Validation de règle personnalisée avec marquage Common Vulnerability and Exposure ou logique complexe
Cas de test sous contrôle de version qui persistent à travers les changements d'équipe
Et peut-être plus important encore, le simulateur rend les tests de sécurité accessibles sans qu'il soit nécessaire de devenir un expert en curl !
Utilisation dans le monde réel : tester avant que les problèmes ne surviennent
Simran a décrit comment les équipes de recherche dans le domaine de la sécurité peuvent utiliser le simulateur pour vérifier la couverture des vulnérabilités émergentes. Si je reçois un CVE, je veux le savoir immédiatement — notre pare-feu d’applications web peut-il le détecter ? « Sinon, je dois escalader, créer une règle et la tester rapidement. »
L'un des avantages les plus significatifs est d'éviter les mauvaises configurations. Lors de la démonstration, une règle d'exclusion apparemment anodine a complètement perturbé la détection de scripts intersites (XSS), éliminant à la fois la détection et le marquage Common Vulnerability and Exposure associé. Avec des tests automatisés exécutés dans Actions GitHub et des alertes Slack activées, le problème aurait été détecté immédiatement.
Comme l’a expliqué Daniel : « Nous ne nous contentons pas de prévenir les bris — nous réduisons le délai entre le changement et la résolution. » « C'est énorme quand vous gérez plus de 1 000 sites. »
Favoriser un état d'esprit de « détection en tant que code »
Le simulateur WAF de Fastly adopte pleinement une approche « détection en tant que code », qui applique les principes du génie logiciel, tels que le contrôle de version, la revue de code et les tests automatisés, à la création et à la gestion des règles de détection de sécurité.
Au lieu de s'appuyer sur des configurations ad hoc ou mises à jour manuellement, la détection en tant que code considère la logique de détection comme un actif structuré, versionné et collaboratif. Cette approche augmente la fiabilité, permet des itérations rapides et aide les équipes à mettre à l'échelle la détection des menaces tout en maintenant la cohérence entre les environnements. En intégrant la détection dans le cycle de développement, les équipes de sécurité peuvent s'aligner plus efficacement sur les pratiques DevOps et répondre plus rapidement aux menaces en constante évolution. Les règles sont documentées, versionnées et testées, tout comme la logique d'application.
Le simulateur WAF prend en charge :
Gestion de la configuration basée sur Terraform
Tests unitaires définis par YAML
Alertes Slack et GitHub Actions pour les échecs de tests CI/CD
Prise en charge des webhooks pour déclencher une validation automatisée lors des modifications de règles
Les équipes de sécurité se retrouvent constamment dans des situations où une telle approche leur permet de se sortir d'une situation délicate. Cela peut être aussi simple que le départ d'un membre de l'équipe pour un autre poste. La détection en tant que code donne l'impression que la sécurité est une extension naturelle du flux de travail de développement — et non un obstacle à éviter !
Que la sécurité soit intégrée à l’équipe DevOps ou qu’elle soit gérée par une organisation de sécurité dédiée, le pare-feu d’applications web (WAF) renforce les capacités des deux. Il soutient un modèle de responsabilité partagée où les développeurs gèrent la logique de sécurité spécifique à l'application, tandis que les équipes centrales supervisent les politiques globales.
Simran l’a bien résumé : « La sécurité fait partie de votre rôle en tant que développeur. » Vous connaissez le mieux votre application. « Cela vous donne les outils pour le gérer en toute sécurité, sans voler à l'aveugle. »
Une sécurité qui évolue à la vitesse du Dev
Les contrôles de sécurité ne sont efficaces que s’ils fonctionnent, et de nombreuses organisations ne savent pas s’ils le sont jusqu’à ce qu’une faille, un test d’intrusion ou un utilisateur frustré ne découvre le contraire.
Le simulateur pare-feu d’applications web change la donne en apportant rapidité, visibilité et confiance aux flux de travail DevSecOps. Il garantit que les règles fonctionnent comme prévu, que les équipes restent synchronisées et que la sécurité évolue parallèlement au développement, et non en retard.
Voulez-vous l'essayer ? Explorez le projet d'automatisation du simulateur WAF de Fastly sur GitHub et commencez à créer des flux de travail plus intelligents et plus sûrs, sans ralentissements.