Le défi : identifier et corriger les vulnérabilités sans générer de ralentissements
DFDS est une entreprise à l’histoire riche : il y a 150 ans, elle transportait déjà du fret et des personnes par voie maritime, et elle gère aujourd’hui des opérations de logistique dans le monde entier. L’entreprise comporte deux divisions principales : la division Ferry, qui transporte du fret et des passagers par ferry en Europe, et la division Logistics, qui propose des solutions de transport et de logistique.
Cette dernière division propose divers outils numériques à ses clients, notamment des services de suivi des expéditions en temps réel, de simplification du dédouanement et de réservation de chargements. En coulisses, l’équipe de DFDS emploie plus de 200 développeurs pour assurer la maintenance et le développement de cette suite de produits.
Lorsque cette équipe a réalisé un audit complet de son pipeline de développement, environnements cloud et applicatifs compris, elle a constaté l’existence d’angles morts importants sur sa sécurité. Elle a également noté que la maturité de ses pratiques de sécurité était très hétérogène. Certaines équipes avaient une bonne observabilité de leur nombre de vulnérabilités et une bonne maîtrise de la sécurité des applications, d’autres bien moins. Chaque équipe utilisait également ses propres outils open source et commerciaux, sans qu’il y ait d’approche standardisée de la sécurité.
L’équipe de DFDS avait donc besoin d’une nouvelle solution pour assurer la cohérence des pratiques de sécurité en interne. Pour autant, il était essentiel que ces contrôles ne brident ou ne ralentissent pas les développeurs.
« Il s’est avéré que le plus grand risque pour nous résidait dans l’absence d’observabilité de notre chaîne d’approvisionnement », explique John Smith, architecte de domaine SecOps. « Nous avons noté que chaque équipe présentait un niveau de maturité différent. »
La solution : Snyk Open Source et Code
L’équipe de DFDS a décidé d’utiliser Snyk Open Source et Code dans ses groupes de développement, ce qui lui a permis de sécuriser son code interne et le code tiers. Elle a choisi Snyk en raison de la simplicité de son déploiement et de ses puissantes fonctions de génération de rapports.
« Avec beaucoup des autres options du marché, il nous fallait placer un fichier YAML ou un fichier de conflit dans chaque dépôt », explique John Smith. « Si je vais voir un product owner pour lui dire de créer un ticket ou un PBI pour chaque dépôt, il va me répondre qu’il n’a pas que ça à faire. Snyk n’a pas cette limitation, et j’ai donc pu mettre en place un processus de déploiement ne nécessitant pas l’intervention des product owners. »
L’équipe de DFDS a également apprécié le fait que Snyk puisse accompagner chaque développeur en matière de sécurité, et ce indépendamment de son niveau d’expertise. Elle a commencé à utiliser SnykLearn dans la plateforme pour mieux sensibiliser à la sécurité.
D’après John Smith, « l’important était de faire comprendre l’intérêt de l’adoption d’une approche tournée vers la sécurité lors du sprint, ou au moins de lancer une réflexion sur la question. L’idée était aussi de pousser chacun à analyser les données dont il dispose pour essayer d’éliminer les vulnérabilités les plus graves. »
Les bons outils et la bonne formation pour la réussite de la sécurité
Après avoir déployé les solutions de Snyk pour le code interne et le code tiers, puis utilisé SnykLearn pour former les développeurs, l’équipe a constaté une hausse de l’intérêt pour les correctifs de sécurité, et une plus grande implication des développeurs dans l’identification et la correction des vulnérabilités. La sécurité des applications, qui posait jusque-là un problème gigantesque et non traité, s’est transformée en une initiative réalisable et passionnante pour l’ensemble des équipes de développement.
« Depuis le déploiement de Snyk, nous recevons beaucoup de marques d’intérêt et de questions sur les notions associées, comme les acronymes CVE et MITRE ? », affirme John Smith. « Nos employés lisent les détails des vulnérabilités dans Snyk Learn et cherchent à élargir leur savoir informatique, par exemple sur le fonctionnement de l'injection SQL. L’adoption de Snyk a indirectement créé une culture de la curiosité autour de la sécurité, ce qui est une très bonne chose, notamment pour recruter des ambassadeurs influents dans chaque équipe. »
L’impact : réduction des vulnérabilités et hausse de la curiosité
Après avoir adopté Snyk, l’équipe de DFDS a réduit de 50 % les vulnérabilités. Il y a seulement quelques semaines, elle a annoncé l’absence de vulnérabilités critiques matures. Désormais, elle prévoit d’intégrer plus étroitement Snyk dans l’IDE natif de ses équipes de développement pour encourager encore plus l’adoption de l’outil.
« Les développeurs sont responsables de la qualité et ont suivi les sprints de sécurité. Ils peuvent passer moins de temps sur les vulnérabilités critiques au quotidien. »
Grâce à Snyk, DFSDS peut adopter une approche proactive de la sécurité et permettre à ses développeurs de créer de nouveaux produits et de nouvelles mises à jour rapidement et en toute sécurité.