Renault Digital : la sécurité sur le cloud par l’automatisation
Renault Digital est une filiale de Renault qui a pour mission d’être un accélérateur de la transformation digitale au sein du groupe Renault. Avec 400 collaborateurs et plus de 50 projets incubés depuis 2017, mais une équipe sécurité de seulement 4 personnes, Renault Digital doit répondre à la problématique suivante : comment accélérer et répondre aux enjeux de sécurité d’un environnement multi plateformes, avec beaucoup d’innovation, une méthodologie agile, des technologies serverless et des conteneurs ?
Sécurité by design
Pour répondre à cet enjeu, D2SI a recommandé la mise en place d’une politique de sécurité by design, c’est-à-dire la prise en compte de la sécurité le plus en amont possible au sein des projets, et de l’infrastructure AWS. L’équipe DevSecOps s’est donc appuyée sur les services AWS et d’autres services du marché afin d’aider les équipes à intégrer la sécurité au plus tôt. Les nouveaux services sont intégrés sous forme de POC afin de permettre aux équipes de progresser rapidement, et de faciliter l’évangélisation sur le bon usage des services managés.
AWS Security Hub
L’intégration d’un service comme AWS Security Hub a ainsi permis de responsabiliser les équipes projets sur le monitoring des alertes. La facilité d’intégration de Security Hub sur des comptes multiples a permis à l’équipe DevSecOps de généraliser très rapidement l’usage du service au sein des différentes équipes. Les avantages constatés sont les suivants :
- Le service est managé donc il n’y a pas de mise à jour à gérer
- Les logs et les alertes centralisés donnent à l’équipe sécurité une vision d’ensemble des comptes à travers un seul tableau de bord
- Les équipes sont notifiées des alertes en cours, attaques ou scans, sur Slack et sur Jira. Cette notification automatisée permet de prendre rapidement les actions de remédiation nécessaire (mettre une machine en quarantaine, désactiver un rôle…).
Analyse des CVE
Concernant la partie conteneurs, l’automatisation de l’analyse des CVE a été traitée avec une architecture impliquant ELK, une API Clair dans ECS, et une base RDS pour analyser la chaîne de CI/CD sur Gitlab. Le code est buildé sur Gitlab, puis scanné et envoyé vers la chaîne CI/CD; l’analyse par Clair est utilisée dans une registry AWS et dans une ECS.
Un tableau de bord ELK a été mis en place pour faire remonter rapidement les informations importantes. Ici également, comme avec l’usage de Security Hub, on fait redescendre la sécurité au niveau des projets, de façon à les rendre autonomes sur la gestion et le patch des CVE, tout en permettant à l’équipe sécurité de disposer d’une vision d’ensemble du niveau global de la sécurité.