Spécialisé dans les investissements dans les actifs non cotés, Ardian gère un portefeuille d'environ 156 Md€. Dans cette activité, qui emploie plus de 1 050 personnes au total, l'informatique joue évidemment un rôle clef. La DSI de la société de capital-investissement, qui s'est séparée du groupe Axa il y a dix ans, regroupe environ 250 personnes, chargées notamment du développement et de la maintenance des applications supportant les activités métiers. « Si nous exploitons quelques services SaaS, la majorité de ces applications sont développées en interne », indique Jean-Baptiste Granet, IT Security Officer d'Ardian.
Si ce périmètre reste inchangé, les manières de faire, elles, ont largement évolué, avec l'arrivée du devops et des méthodologies agiles. Avec, en parallèle, la volonté des équipes de sécurité d'intégrer des audits de code dans les chaînes devops. Une démarche dite Shift Left, en jargon, consistant à amener les bonnes pratiques de sécurité dès l'amont des activités de développement, plutôt que de les cantonner à l'aval. Cette transformation des méthodes de développement et l'intégration de la sécurité ont entraîné des mutations profondes sur les manières de travailler des équipes et l'outillage associé.
Une première phase sur une vingtaine d'applications
« Nous avons d'abord mené un travail de sensibilisation et de formation des équipes, avec la création d'une communauté dite de Security Champions. L'objectif consistait à déléguer une partie de la sécurité aux chefs de projets et aux responsables technologiques », indique le responsable de la cybersécurité. Au menu notamment : des formations offensives, permettant de démonter la mécanique d'une attaque, mais aussi défensives, pour identifier les manières de se prémunir de ces techniques.
La volonté d'Ardian d'intégrer la sécurité au coeur du processus de développement se traduit également par la mise en oeuvre d'un outil d'audit de code. Après un benchmark - qui a permis de tester l'exhaustivité des différentes solutions, la qualité des audits ainsi que la capacité à s'intégrer aux environnements techniques déjà déployés -, la DSI a retenu l'offre de l'éditeur américain Veracode. « Nous avons commencé par cibler les périmètres qui avaient la volonté à s'intégrer à la solution et présentaient une certaine criticité, indique Jean-Baptiste Granet. Avec toutefois l'objectif clair de généraliser l'approche à l'ensemble des codes source. »
La première phase du projet, qui s'est étalée sur environ un an, a ainsi concerné une vingtaine d'applications. Elle a permis de tester la solution sur différents langages et auprès d'équipes ayant différents niveaux de maturité. Aujourd'hui, la phase de généralisation - qui touche 47 autres applications - est en cours. « Toutes les équipes de développement ont souhaité s'intégrer à la solution d'audit de code, car elles en perçoivent désormais la valeur », assure notre interlocuteur. Selon ce dernier, le déploiement des audits de code a certes légèrement ralenti les pipelines de développement - qui passent par exemple de 10 à 20 mn -, « mais sur l'ensemble du projet, ils permettent de gagner beaucoup de temps, car on ne découvre plus des vulnérabilités à la fin du processus, ce qui impliquait des heures, voire des jours de travail », dit Jean-Baptiste Granet.
Pour alerter les développeurs, de simples e-mails
« Nous avons choisi de déployer des scans de code tout le long de notre chaîne d'intégration continue, avec de premières vérifications dès la sandbox, puis des scans transverses à l'application sur la branche principale de développement et, enfin, une vérification au tout début du déploiement, cette dernière ayant un caractère bloquant pour veiller au respect des politiques de sécurité avant toute mise en production », détaille le responsable. L'équipe en charge de la cyber, qui compte sept personnes auxquelles s'ajoutent des prestataires, a fait le choix d'intégrer nativement la solution Veracode à la chaîne Devops d'Ardian, hébergée sur Azure.
« Nous avons reconstruit une couche de middleware pour envoyer aux développeurs des feedbacks par e-mail, selon des formats prédéfinis et avec des pièces jointes offrant les détails nécessaires, car c'est ce choix qui avait leur préférence », résume Jean-Baptiste Granet. Seules les équipes en charge de la sécurité accèdent réellement à la plateforme Veracode, pour l'administrer et y définir les politiques de sécurité. « Nous déléguons aussi certains éléments aux Security Champions », précise le responsable de la cybersécurité, qui met aussi en avant la simplicité d'intégration de nouveaux périmètres dans la solution, via des templates.
Intégrer l'infrastructure-as-code
Si Ardian envisage de tester les fonctions de remédiation automatique, la société a pour l'heure mis en place un processus de gestion des vulnérabilités, afin de les prioriser et les corriger. « D'un côté, notre démarche consiste, en particulier via la formation et l'outillage, à ne pas implémenter de nouvelles vulnérabilités. De l'autre, nous menons un travail de correction du backlog de vulnérabilités, en priorisant ces corrections selon la criticité des défauts et en généralisant les correctifs à tous les déploiements concernés », précise Jean-Baptiste Granet. Un travail de fond pour lequel Veracode fournit des indications, sur les vulnérabilités à corriger et leur niveau de criticité. « Sur la première phase du projet, nous avons consacré environ 6 mois à l'intégration et 6 mois à la remise en conformité des applications entrant dans le périmètre », détaille l'IT Security Officer d'Ardian.
Aujourd'hui, l'équipe cybersécurité d'Ardian a pour projet d'étendre ce mécanisme aux sujets d'infrastructure. « Comme nous nous dirigeons vers un modèle d'infrastructure-as-code, à base de conteneurs, nous voulons généraliser le modèle déployé sur les applications, note Jean-Baptiste Granet. Cela fait d'autant plus sens que, de plus en plus, les exploitants sont intégrés dans les équipes applicatives. » Des tests de la solution Veracode sur ce nouveau périmètre sont en cours.