Sécurisation de Landing zone : le retour d’expérience de CA-GIP (Crédit Agricole)
Créé en 2019, Crédit Agricole Group Infrastructure Platform rassemble plus de 1600 collaborateurs issus des activités de production informatique de différentes entités du Crédit Agricole, et a pour vocation de répondre aux enjeux de transformation digitale. Parmi ces enjeux, le développement de nouvelles plateformes et leur mutualisation à l’échelle du groupe. Dans ce contexte, CA-GIP, qui représente 80% des infrastructures et de la production du groupe, a mené une étude d’implémentation sur le Cloud, avec un focus sur la sécurité et la construction de landing zone.
Dans le cadre de cette étude, l’équipe Revolve a accompagné CA-GIP sur la sécurisation des landing zones. Christophe Omnes (Squad Hybridation-DevOps Factory CA-GIP) et David Sergent (Architecte Big Data & Hybrid Cloud CA-GIP) répondent à nos questions sur ce projet.
Pouvez-vous présenter le contexte du projet Hybridation ?
De nombreuses entités Crédit Agricole s’intéressent à la problématique Cloud public et hybride, et pour cette raison CA-GIP a étudié les différentes pistes possibles.
Le choix d’un Cloud provider est très stratégique et nous voulons pouvoir étudier de façon approfondie lequel/lesquels nous conviendra/conviendront le mieux. A ce titre, nous avons étudié plusieurs fournisseurs. Dans cette démarche, l’étude préalable est très poussée et nous allons assez loin dans le détail d’implémentation des services, afin d’évaluer exactement les possibilités de chaque Cloud provider, et notamment sur la question de la sécurité sur laquelle nous avons un focus particulier.
Quels sont les raisons qui vous poussent vers le cloud public ?
Nous avons identifié plusieurs scénarios où le Cloud public peut apporter une forte valeur ajoutée. Au sein de nos entités, l’adoption du cloud public a souvent commencé par des projets d’innovation, cependant nous ne mélangeons pas la production et l’innovation. Nos équipes d’innovation expérimentent le cloud public depuis plusieurs années pour apporter leur retour d’expérience sur l’agilité amenée par le cloud. Nous avons maintenant cette connaissance, mais nous ne sommes pas pour autant prêts à passer en production.
Néanmoins le Cloud public propose de vrais atouts potentiels, notamment pour la banque de financement. Le burst (débordement), par exemple permet de répondre à un besoin ponctuel d’une très forte puissance de calcul. Aller chercher temporairement sur le Cloud public une capacité de compute plus élevée que celle en interne est un vrai cas d’usage. On ne paie que ce qu’on consomme, il y a donc un fort potentiel d’économie. Il y a d’autres cas d’usage sur la partie business où le Cloud public pourrait apporter une forte valeur ajoutée. L’innovation est également un driver. Par exemple sur le sujet de l’IA, sur lequel il est compliqué de se développer rapidement on premise. Le Cloud apporte aussi une agilité certaine : on teste et on détruit les ressources une fois les tests terminés, cela permet de valider des scénarios rapidement.
Comment Devoteam Revolve vous a accompagné dans ce projet ?
Dans le cadre de cette étude, nous sommes en charge de fournir une landing zone AWS et de la sécuriser. C’est un travail pointu, complexe, qui demande des compétences très spécifiques, et où les attentes en matière de sécurité sont très fortes.
Nous cherchions donc des profils avec une bonne expérience de ces sujets sur AWS, et de la sécurisation des landing zones. Comme nous avons des architectures hybrides, nous avions également besoin de connaissances transverses (réseau, sécurité, etc.) sur les SI on premise et sur le Cloud. Nous avons donc sollicité Devoteam Revolve pour leur expertise reconnue sur ces sujets. Les acteurs sur AWS sont nombreux, et nous avons choisi ceux qui nous paraissaient les meilleurs pour nous accompagner dans cette phase d’étude poussée et de sécurisation de la plateforme.
Pouvez-vous détailler les enjeux de la construction de la landing zone ?
Notre travail est d’étudier comment sécuriser la plateforme. Il existe beaucoup de documentation sur le sujet, mais cela ne remplace pas l’expérience du terrain. Nous devions donc voir en profondeur comment sécuriser la plateforme AWS, jusque dans les détails comme les bus de messages.
Pour cela, nous avions besoin de profils qui non seulement connaissent tous les principes de sécurité (least privilege, etc), mais qui sachent également comment les mettre en pratique et maîtrisent toutes les implications sous-jacentes. Pouvoir nous lancer dans les meilleures conditions suppose un très fort niveau d’industrialisation. Les collaborateurs de Devoteam Revolve maîtrisent parfaitement ces concepts de sécurité, et leur implémentation pratique, de façon industrielle.
Cette étude va jusqu’à l’intégration de l’Infrastructure as Code dans la chaîne CI/CD ?
Nous voulions que notre chaîne CI/CD puisse s’appuyer sur AWS, et potentiellement s’adapter à d’autres fournisseurs Cloud, voir à du Cloud privé. Devoteam Revolve nous a donc accompagné dans le travail d’industrialisation de la chaîne pour qu’elle soit auditable. L’infrastructure as code est une façon d’assurer à nos équipes sécurité une visibilité complète sur ce qui est déployé.
Nous devons également fournir une solution complète de monitoring. Nous sommes en effet susceptibles d’onboarder dans le Cloud des projets unitaires comme des projets beaucoup plus volumineux et ambitieux. Ce système de monitoring devait donc être intégré à notre système d’astreinte, et apporter des fonctions de monitoring standard des composants de l’infrastructure, mais aussi du monitoring sécurité. Plus encore que sur une infrastructure on premise, nous devons pouvoir analyser tous les événements. Nous prenons plus de précautions sur le Cloud public, et nous souhaitons analyser ces données avec nos outils existants, donc nous rapatrions ces données sur nos systèmes.
Suite à cette étude, quel est votre retour sur le Cloud public ?
Nous partions du principe que “tout est possible sur le Cloud public”. Ce n’est pas tout à fait exact, certaines fonctionnalités ne sont pas encore disponibles, ou elles ne sont pas disponibles dans toutes les régions, donc nous avons dû trouver des contournements. Ceci est aussi dû au fait que sur les sujets de sécurité, nous cherchions parfois des solutions dans l’esprit de ce qui se fait on premise.
Le Cloud demande un changement de mindset et les équipes de Devoteam Revolve étaient là pour nous aider à trouver des alternatives satisfaisantes face à ce type de problématique. Par exemple, nous imaginions que nos liens d’hybridation largement dimensionnés et Direct Connect nous éviteraient d’avoir à passer par Internet, cependant les appels API passent toujours par Internet. Pour nos équipes sécurité, c’est un peu contre-intuitif, mais Devoteam Revolve nous a aidé à contrebalancer ce risque et à trouver des alternatives. Inversement, il y aussi de bonnes nouvelles, nous découvrons des fonctionnalités que nous n’aurions pas imaginées. C’est aussi l’intérêt de faire appel à des profils expérimentés comme ceux de Devoteam Revolve. C’est l’expérience terrain qui leur permet de nous proposer des fonctionnalités qui répondent à nos besoins.
Comment avez-vous jugé l’accompagnement fourni par Devoteam Revolve ?
Nous avons apprécié le parti-pris de proposer une équipe composée de profils équilibrés entre juniors et seniors. C’est une approche qui a bien fonctionné, cet équilibre a permis de répondre aux problématiques complexes et de produire du code. Nous avions deux seniors et une junior, et honnêtement, nous aimerions bien avoir plus souvent d’autres juniors avec ce niveau de compétence !
Par ailleurs, le transfert de compétences s’est fait de façon naturelle : nous travaillons en squad sur notre roadmap, avec des sessions de partage régulières, des moments de documentation. Par conséquent, le passage de connaissances est transparent et continu.