Depuis 2017, la société française Heetch propose une plateforme de VTC qui totalise aujourd'hui plus de 50 millions de trajets effectués dans une dizaine de pays (Europe et continent africain). L'entreprise s'appuie depuis l'origine sur une infrastructure nativement cloud, avec un hébergement chez AWS et des processus d'intégration continue dans lesquels la sécurité tient une grande place. Néanmoins, avec la croissance rapide des activités et l'évolution quotidienne de la plateforme, Heetch a souhaité renforcer la surveillance de ses actifs informatiques, choisissant de s'appuyer sur la solution de Patrowl.
La société disposait déjà de processus de sécurité robustes, avec des développeurs formés au risque cyber et des tests de sécurité effectués à chaque déploiement et avant chaque mise en production. Heetch avait également mis en place une surveillance continue des vulnérabilités liées à l'utilisation de librairies open source et disposait d'un framework pour y remédier. Enfin, l'entreprise effectuait annuellement un pentest sur ses infrastructures et ses logiciels, afin de détecter d'éventuelles vulnérabilités. Cependant, les développeurs produisent quotidiennement du code pour améliorer la plateforme, ce qui introduisait un risque journalier. Il fallait donc trouver une solution de détection de vulnérabilités adaptée à ce rythme de production, mais qui ne contraignait pas les équipes à interrompre leurs activités ni ne complexifiait leur travail.
Une surveillance automatisée
L'équipe de sécurité de Heetch a donc choisi de renforcer la surveillance à la fin du pipeline de production, afin de ne pas perturber le travail des équipes de développement. Après avoir étudié différentes solutions, Heetch a retenu celle de Patrowl, appréciant notamment le suivi mensuel proposé ainsi que le fait de pouvoir s'appuyer sur un partenaire français. Un proof of concept de la solution a été réalisé début 2022 sur cinq actifs spécifiques pendant un mois, ce qui a permis de remonter deux vulnérabilités de niveau faible identifiées par l'équipe. L'exercice visait à conforter la décision, en rassurant sur les capacités de la solution. Une fois le choix confirmé, l'entreprise a profité du projet pour se séparer de certains actifs superflus, afin de restreindre le périmètre d'analyse. Heetch a ensuite fourni à Patrowl une liste de domaines à surveiller. En deux jours, la solution était opérationnelle et a pu démarrer l'analyse de tous les actifs publics de Heetch, tous pays d'exploitation confondus dès avril 2022.
Grâce à la surveillance automatisée, l'équipe de sécurité peut désormais être alertée rapidement de failles éventuelles, qui même de faible niveau peuvent être à l'origine d'élévations de privilèges intempestives, telles des erreurs de configuration. Les recommandations proposées dans l'outil facilitent aussi la priorisation des efforts, les ressources pouvant rapidement être orientées vers les actions de remédiation nécessaires. La flexibilité de l'outil offre la possibilité d'aborder un actif en particulier et d'étudier les vulnérabilités qui le concernent, mais aussi d'amorcer la recherche par une vulnérabilité et de remonter aux assets impliqués ou aux recommandations. Enfin, du côté des développeurs, ceux-ci s'intéressent également aux évaluations fournies par la solution sur la qualité du code, contribuant à une hausse de la culture cyber au sein de l'IT.