Article édité le 31/10 à 9h47, suite à des demandes de modifications d'Engie

Spécialisée dans la vente d'énergie et de services aux particuliers, la direction grand public d'Engie opère une dizaine de portails web, couplés à leurs back-offices et middlewares dans de multiples langages. Depuis 2016, sa DSI a opéré un virage vers les méthodes agiles, qu'est encore venue accélérer la migration vers le cloud d'AWS, réalisée entre 2018 et 2022. 90% des ressources ont ainsi été portées vers les environnements Cloud et 80% des applications sont désormais conteneurisées et gérées via un processus CI/CD. L'énergéticien a également structuré sa démarche agile avec la création de trois trains Safe, comptant entre 5 et 10 équipes agiles chacun.

C'est aussi en 2022 que la DSI France Retail choisit de lancer un audit de sécurité DevSecOps, basé sur DSOMM (DevSecOps Maturity Model, un modèle publié par la fondation Owasp). Ce contrôle, visant tant à évaluer la maturité de l'organisation à date qu'à définir une cible, met en évidence le besoin d'améliorer la sécurité applicative. En particulier de mieux gérer l'obsolescence des composants. « Il nous manquait un outillage et un processus associé », résume Thibault Dubois, responsable des projets cyber de la direction grand public d'Engie, qui s'exprimait lors des Assises de la sécurité (Monaco, du 9 au 11 octobre).

Tests de sécurité dans les pipelines CI/CD

Avec pour cahier des charges la réalisation de scans de code, mais aussi la détection de présence de secrets ou encore d'erreurs de configuration des conteneurs, Engie se met en quête d'une solution capable de renforcer sa sécurité applicative. « Les développeurs voulaient utiliser une plateforme unique, excluant le recours à de multiple outils Open Source, et nous cherchions une solution capable de nous guider sur un segment que nous n'appréhendions pas encore très bien », reprend le responsable de projets cyber. Ce parcours amène l'énergéticien à opter début 2023 pour Veracode, la solution de l'éditeur américain renvoyant le moins de faux positifs parmi les différentes options testées et se traduisant par les besoins de configuration les plus limités.

En premier lieu, Engie utilise la solution pour déployer des tests de sécurité dans les pipelines CI/CD. Selon le responsable de projets cyber, les applications, écrites dans 9 langages différents et dépendant de 35 équipes Devops, bénéficient aujourd'hui de ces scans de code. Soit 1500 vérifications par mois environ. Pour renforcer l'adoption de cet outil, la direction grand public d'Engie est également en train de déployer Veracode directement dans les environnements de développement (IDE). L'énergéticien a également commencé à tester une fonctionnalité d'IA intégrée par l'éditeur, baptisée Fix et proposant aux développeurs des options de remédiation des vulnérabilités découvertes.

Les vulnérabilités des composants pour priorité

L'outil permet de renforcer la démarche DevSecOps en priorisant à la fois l'exposition aux menaces cyber ainsi que le respect des directives du groupe, notamment liées aux alertes provenant de librairies ou bibliothèques obsolètes, alertes remontées par l'outillage de l'éditeur. Ce qui a conduit la DSI grand public à donner la priorité à la remédiation des vulnérabilités de type SCA (Software Composition Analysis, autrement dit liées à des composants) ainsi qu'à celle d'une vingtaine de vulnérabilités isolées dans le code statique. « C'est un chantier important, car il regroupe des travaux qui avaient été associés à un niveau de priorité moindre depuis quelques années », souligne le responsable de projets, qui indique que cette reprise de l'obsolescence sera achevée en fin d'année.

Le déploiement de la solution Veracode a été faite en 18 mois. « L'organisation en trains a facilité le déploiement, car elle permet de toucher 7 ou 8 équipes DevOps d'un coup », souligne le responsable des projets cyber, qui explique s'être également appuyé sur la communauté des 'Security Champions' intégrés aux équipes de développement.