Engie Digital : les enjeux du DevSecOps sur le Cloud
ENGIE Digital conçoit et fournit des produits et services digitaux pour réinventer le monde de l’énergie et accompagner les entités du Groupe ENGIE vers la transition bas carbone. Et cela, dans le monde entier. Les équipes DevSecOps d’ENGIE Digital sont en charge de la sécurisation et de l’industrialisation de l’infrastructure, essentiellement sur le Cloud AWS, qui représente 90% de sa consommation d’infrastructure. Nous avons échangé avec Amine Djedid, responsable des équipes DevSecOps, sur la sécurisation et l’industrialisation de l’infrastructure Cloud, et sur la collaboration de ses équipes avec l’équipe Revolve.
Quel est le rôle des équipes DevSecOps ?
Je suis responsable des équipes DevSecOps au sein d’ENGIE Digital. Nous avons pour mission d’appuyer nos équipes produits, appelées plateformes digitales, dans la sécurisation et l’industrialisation de l’infrastructure.
Nous menons conjointement plusieurs chantiers avec les plateformes tels que l’automatisation du déploiement et du maintien de l’infrastructure (Infra As Code), la mise en œuvre de lignes de CI/CD (Continuous Integration and Continuous Delivery), l’assurance de la continuité de service par la mise en place de DRP (« Disaster Recovery Plan »), et bien entendu la remédiation et mitigation des risques et vulnérabilités SI.
Nous intervenons également sur les sujets comme la fédération d’identité (solution Groupe OKTA), ou encore l’optimisation des coûts du Cloud (FinOps).
Nous travaillons essentiellement sur le Cloud AWS, qui représente 90% de notre consommation infrastructure au sein d’ENGIE Digital ; et le passage à l’échelle de nos produits nécessite une maîtrise accrue des OPEX pour garantir un modèle économique viable.
Quels sont les enjeux du DevSecOps sur le Cloud ?
L’enjeu premier pour l’équipe DevSecOps est tout d’abord la proximité avec les plateformes.
L’équipe est sur le terrain : nous sommes dans la réalisation, nous travaillons directement sur l’outil de production pour l’optimiser et le sécuriser aux côtés des équipes qui gèrent les plateformes.
Il s’agit ensuite de proposer des moyens et des compétences pluridisciplinaires pour concevoir, réaliser, déployer et optimiser à tous les niveaux et « sans coutures ».
Cela va du routage réseau entre backbones, aux réplications sécurisées de services et datas « cross-région », en passant par le développement de logiciels « maison » pour améliorer l’expérience de nos utilisateurs.
Le dernier enjeu, et pas des moindres, est la professionnalisation : il y a beaucoup d’initiatives et de réalisations dans le Cloud, et on se rend compte que la maîtrise des services du Cloud et leur sécurisation sont stratégiques pour accompagner durablement l’expansion des services de l’entreprise.
Comment fonctionne l’équipe DevSecOps ?
L’équipe DevSecOps ENGIE Digital est transverse aux plateformes portant les besoins métiers, comme par exemple l’optimisation de la production de parcs éoliens ou le pilotage de réseaux de chaleur ou encore la maintenance prédictive de nos ouvrages.
Chaque plateforme a un référent DevSecOps, qui connaît parfaitement les membres de l’équipe, et les technologies mises en œuvre au sein de cette dernière.
Il y est intégré, ce qui lui permet de comprendre sa culture, son métier, ses clients et ses ambitions.
Cette présence « en immersion » représente environ 70% de son temps de travail et les 30% restants sont consacrés à l’équipe DevSecOps, où le référent partage ses réalisations, ses problématiques et échange avec ses pairs des solutions possibles.
Chaque membre de la team DevSecOps apporte un capital non négligeable dans l’équipe, qui est ensuite enrichi, mutualisé et réutilisé au sein d’autres plateformes.
Nous constatons, après environ 18 mois d’existence, que ce modèle de collaboration agit maintenant comme un véritable accélérateur pour les nouvelles plateformes.
Dans quel contexte avez-vous collaboré avec Revolve ? Quel type d’expertise ?
Notre équipe est pluridisciplinaire. C’est un enjeu majeur parce que les problématiques sont variées, et sur des contextes techniques très divers : la fourniture de services « World Wide » mais au plus proche du client avec des niveaux de SLA élevés, la réponse à des besoins de confidentialité et d’intégrité très forts, une exigence de conformité continue à plus de 30 indicateurs opérationnels de sécurité…!
Nous avons au sein de l’équipe des expertises réseaux, bases de données, architecture, services Cloud et développement logiciels (front et back), ce qui nous permet de livrer un produit fini en toute autonomie malgré une taille relativement petite (7 personnes en moyenne).
Dans ce contexte, un partenariat comme celui que nous avons avec Revolve renforce notre maîtrise des services Cloud AWS, dans leur intégration comme dans leur exploitation/optimisation.
C’est une collaboration qui s’inscrit dans la durée avec des ambitions communes de professionnalisation des équipes via des formations certifiantes par exemple, de la veille technologique active (Webinars, séminaires, Workshops) et la promotion de l’innovation concrète avec la réalisation de PoC ou MVP.
Revolve a aussi des références dans d’autres grands groupes du CAC40 qui traitent en masse des systèmes volumineux sur le Cloud, et cette expérience nous intéresse fortement.
Nous avons une centaine de comptes Cloud et plusieurs centaines de collaborateurs qui les utilisent chaque jour. Il nous faut par conséquent une approche industrielle pour assurer une exploitation optimale de nos ressources.
Comment avez-vous travaillé sur l’automatisation et la sécurisation de la chaîne CI/CD ?
Nous appuyons tout d’abord nos équipes produits dans la mise en place de chaînes CI/CD conformes à nos standards afin de garantir une homogénéité globale dans leur mode de fonctionnement.
Nous proposons ensuite des mécanismes d’audit et de contrôle sur les postes de travail pour pouvoir contrôler le code source avant même qu’il soit publié sur le référentiel central.
Le développeur (ou l’Ops) peut ainsi s’auto-évaluer et se corriger avant de pousser le code sur les environnements SI.
Des contrôles supplémentaires continus peuvent intervenir avant et après l’exécution du code dans la chaîne CI/CD, pour vérifier certains aspects de sécurité comme le chiffrement des stockages ou l’usage de zones réseau autorisées par exemple.
Enfin, sur tous nos comptes Cloud (de production ou de qualification), nous avons des mécanismes d’analyse et de remédiation automatisées, qui fonctionnent en réponse à des événements ou des comportements non standards, en quasi temps réel.
Quels sont les bénéfices de cette approche “shift left” ?
Amener la responsabilité plus tôt est un principe déjà acquis dans le développement logiciel, mais encore peu adressé sur « l’infrastructure programmatique ». Cette question nécessite pourtant la même attention, nous voulons remonter le plus loin possible dans la chaîne pour nous assurer de résoudre les problèmes au plus tôt.
Nous avons encore du chemin à faire avant de pouvoir constater des bénéfices constants. Cependant on note une évolution en termes de culture et d’état d’esprit avec de réelles prises de conscience autour du management de l’infrastructure.
90% de nos infrastructures plateformes sont IaC (Infrastructure As Code), et suite aux remédiations et mitigations des risques mises en place, nous constatons un gain d’environ 55% sur nos KPI sécurité ! Ce qui traduit une nette réduction de notre exposition aux risques cybersécurité.
Des ponts existent maintenant entre les DevSecOps et les équipes de production des plateformes, pour consolider ces synergies.
Sur quels autres sujets avez-vous travaillé avec Revolve ?
Nous avons deux autres ambitions sur lesquelles nous avons sollicité l’aide de Revolve. Nous travaillons notamment sur une cartographie automatisée du SI, pour générer un visuel détaillant l’infrastructure de notre centaine de comptes.
Il est très utile de pouvoir disposer de supports visuels enrichis d’informations sur la sécurité, les designs en place, les coûts engendrés, l’écosystème réseau du compte, etc. Tout le process est automatisé : collecte, structuration des données, mise à disposition des visuels et même leur archivage.
Les architectes, tech lead et DevOps peuvent ensuite s’appuyer sur ces supports pour avoir une vision quotidiennement à jour du système, sur laquelle s’appuyer pour discuter des problématiques ou des évolutions possibles.
Nous travaillons également avec Revolve sur un système d’audit et de contrôle automatisé à grande échelle. Nous avons pour ambition d’intégrer et customiser des solutions qui auditent sur plusieurs critères de standards (CIS Lx, CMMC Lx, GDPR, HIPAA, …). L’objectif est de pouvoir balayer l’ensemble des comptes sur la base de ces critères, et de proposer les remédiations adéquates.
On n’oublie pas le travail de professionnalisation qui est en filigrane de toutes nos démarches. Des Labs sont maintenant disponibles pour aider au recrutement de nos collaborateurs et partenaires. Chaque candidat est soumis lors de l’entretien à un scénario business qui évolue en complexité et qu’il doit exécuter en 50 à 70 minutes sur l’un de nos environnements Cloud.
Nous ambitionnons à terme de mettre en place un réseau d’experts de qualité et un centre d’excellence DevOps au cœur d’ENGIE Digital.
Au-delà des compétences techniques, qu’avez-vous apprécié dans la collaboration avec Revolve ?
Tout d’abord, l’écoute. On ne le dit jamais assez. Nos sujets sont nombreux, les projets complexes. L’écoute, l’adaptation et la prise en compte de nos besoins très changeants est une force de l’équipe Revolve, que ce soit au niveau de nos interlocuteurs commerciaux ou techniques.
Le niveau de maturité et d’expertise des consultants Cloud est indéniablement un point fort.
Enfin, nous apprécions que Revolve soit un partenaire de long terme avec qui co-construire des ambitions communes et en toute confiance.
Et pour approfondir le sujet, nous vous proposons le replay du Webinar DevSecops consacré aux « Champions Sécurité » :