Projets

Engie France sécurise ses trains applicatifs avec des tests de sécurité

C’est suite à un audit de maturité DevSecOps en 2022 que la DSI France Retail d’Engie a décidé de renforcer sa sécurité applicative, avec des tests intégrés à ses pipelines CI/CD. (Photo : Engie)

La division retail de l'énergéticien a déployé des tests applicatifs pour sécuriser ses trains de développement Safe. En ciblant en priorité la mise à niveau des composants et bibliothèques obsolètes ou exposés.

PublicitéSpécialisée dans la vente d'énergie et de services aux particuliers, la direction grand public de la DSI France Retail d'Engie opère une dizaine de portails web, couplés à leurs back-offices et middlewares ainsi que quelque 450 référentiels de code dans de multiples langages. Depuis 2016, la DSI a opéré un virage vers les méthodes agile, qu'est encore venue accélérer la migration vers le cloud d'AWS, réalisée entre 2018 et 2022. 90% des ressources ont ainsi été portées vers les environnements de l'hyperscaler américain et 80% des applications sont désormais conteneurisées et gérées via un processus CI/CD. L'énergéticien a également structuré sa démarche agile avec la création de trois trains Safe, comptant entre 5 et 10 équipes agile chacun.

C'est aussi en 2022 que la DSI France Retail choisit de lancer un audit de sécurité DevSecOps, basé sur DSOMM (DevSecOps Maturity Model, un modèle publié par la fondation Owasp). Mené par Thalès, ce contrôle, visant tant à évaluer la maturité de l'organisation à date qu'à définir une cible, met en évidence le besoin d'améliorer la sécurité applicative. En particulier de mieux gérer l'obsolescence des composants. « Il nous manquait un outillage et un processus associé », résume Thibault Dubois, le RSSI de la branche France Retail d'Engie, qui s'exprimait lors des Assises de la sécurité (Monaco, du 9 au 11 octobre).

Tests de sécurité dans les pipelines CI/CD

Avec pour cahier des charges la réalisation de scans de code, mais aussi la détection de présence de secrets ou encore d'erreurs de configuration des conteneurs, Engie se met en quête d'une solution capable de renforcer sa sécurité applicative. « Les développeurs voulaient utiliser une plateforme unique, excluant le recours à des outils open source, et nous cherchions une solution capable de nous guider sur un segment que nous n'appréhendions pas encore très bien », reprend le RSSI. Ce parcours amène l'énergéticien à opter début 2023 pour Veracode, la solution de l'éditeur américain renvoyant le moins de faux positifs parmi les différentes options testées et se traduisant par les besoins de configuration les plus limités.

En premier lieu, Engie utilise la solution pour déployer des tests de sécurité dans les pipelines CI/CD. Selon Thibault Dubois, 350 applications, écrites dans 9 langages différents et dépendant de 35 équipes Devops, bénéficient aujourd'hui de ces scans de code. Soit 1500 vérifications par mois environ. Pour renforcer l'adoption de cet outil, Engie France Retail est également en train de déployer Veracode directement dans les environnements de développement (IDE). L'énergéticien a également commencé à tester une fonctionnalité d'IA intégrée par l'éditeur, baptisée Fix et proposant aux développeurs des options de remédiation des vulnérabilités découvertes.

PublicitéLes vulnérabilités des composants pour priorité

En dehors de la réduction de l'exposition aux menaces cyber, le déploiement de l'outil de test du code applicatif permet aussi de régler « des questions d'image vis-à-vis du groupe ». Notamment liées à des alertes correspondant à des librairies ou bibliothèques obsolètes remontées par les audits de ce dernier. Ce qui a conduit la DSI France Retail à donner la priorité à la remédiation des vulnérabilités de type SCA (Software Composition Analysis, autrement dit liées à des composants) ainsi qu'à celle d'une vingtaine de vulnérabilités isolées dans le code statique. « C'est un chantier important, car il regroupe des travaux qui avaient été laissés de côté depuis des années », souligne le RSSI, qui indique que cette reprise de l'obsolescence sera achevée en fin d'année.

Le déploiement de la solution Veracode aura requis l'équivalent d'une personne et demie sur 18 mois. « L'organisation en trains a facilité le déploiement, car elle permet de toucher 7 ou 8 équipes DevOps d'un coup », souligne le RSSI, qui explique s'être également appuyé sur la communauté des 'Security Champions' intégrés aux équipes de développement.