Le défi : adopter le shift-left dans l’industrie
Komatsu souhaitait améliorer la sécurité des applications au sein de ses unités commerciales et chez ses fournisseurs. Pour y parvenir, elle a lancé une initiative stratégique de shift-left en 2022. L’équipe cherchait également à consolider ses outils pour gagner en fluidité. Avec l’aide de Snyk, Komatsu est devenue pionnière de la sécurité shift-left dans le secteur industriel.
« Nous sommes en train d’intégrer le modèle de maturité DevSecOps OWASP dans nos stratégies DevOps », affirme Eric Cheng, architecte des solutions digitales chez Komatsu. « Nous avons choisi de nous appuyer sur Snyk et d’autres pratiques pour atteindre notre objectif en faisant progresser notre modèle de maturité. »
La solution : adopter Snyk pour scanner les dépendances open source
Lorsque Komatsu a commencé à s’intéresser aux outils de scans de sécurité, un de ses fournisseurs lui a parlé de Snyk. L’entreprise a donc décidé d’adopter Snyk Open Source pour l’analyse de la composition des logiciels. Ses équipes de développement ont ainsi pu identifier des vulnérabilités potentielles dans les paquets open source qu’elles utilisent et les corriger.
La simplicité d’utilisation de Snyk a fortement contribué à son adoption. En effet, Komatsu a pu se lancer très facilement en utilisant les intégrations Visual Studio et Azure DevOps pour inclure Snyk dans ses workflows de développement et processus CI/CD en place. L’entreprise prévoit aussi de déployer la nouvelle intégration Jira de Snyk pour créer automatiquement un ticket lors de la détection d’un problème de sécurité.
« Changer la culture des équipes de développement est un défi. Leur priorité est de créer de nouvelles fonctionnalités, ce que nous voulons bien sûr soutenir, mais nous souhaitons aussi donner une plus grande place à la correction des failles. La simplicité d’utilisation de Snyk favorise l’adhésion des équipes. » Eric Cheng poursuit : « les réactions de nos développeurs ont été très positives. Les équipes de sécurité aussi sont très enthousiastes, car cet outil leur montre que nous sommes proactifs dans la surveillance et la résolution des failles. Le risque est réduit, ce qui les rassure. »
Un autre facteur clé réside dans la durée des analyses : les développeurs ne voulaient pas perdre trop de temps pour envoyer leur code. Les scans de Snyk étant 100 % plus rapide que ceux de la solution précédente de Komatsu, les développeurs n’ont pas eu de difficulté à adopter la plateforme.
« Snyk analyse le code deux fois plus rapidement que nos outils précédents et est bien mieux intégré aux solutions et processus en place », affirme Eric Cheng. « Les développeurs sont également très satisfaits de son ergonomie. »
Après avoir comparé Snyk à ses concurrents, Komatsu a finalement opté pour Snyk en raison de l’engagement clair de l’éditeur pour l’innovation produit. L’entreprise a estimé que Snyk pourrait jouer un rôle pivot dans sa stratégie de sécurité à l’avenir.
Snyk pour seule interface
Après avoir adopté Snyk Open Source, Komatsu a également décidé d’abandonner SonarCloud au profit de Snyk Code pour réaliser ses tests de sécurité des applications statiques. Les développeurs et équipes de sécurité de Komatsu ont ainsi pu bénéficier d’une seule interface pour assurer la sécurité du code de leur application et des dépendances open source.
« Snyk est vraiment facile à utiliser », juge Eric Cheng. « Le fait de tout réunir dans Visual Studio simplifie vraiment les choses. Vous pouvez voir la qualité du code, ses vulnérabilités et celles de vos dépendances en un seul endroit. Cela a vraiment tout changé pour nous. Nous n’avons plus besoin de jongler entre deux outils, nous n’avons plus qu’une seule interface. »
L’impact : amélioration de la posture de risque de l’application
Depuis l’adoption de Snyk, Komatsu dispose d’une bien meilleure visibilité sur la sécurité pour l’ensemble du cycle de développement logiciel. Son principal indicateur de réussite est la rapidité à laquelle sont identifiées les vulnérabilités critiques et graves, ainsi que le temps nécessaire pour les corriger. Les informations fournies par Snyk pendant le processus de développement ont permis à Komatsu de réduire le délai moyen de correction des vulnérabilités de 62 % en 3 mois. De plus, Snyk a aidé l’entreprise à traiter les vulnérabilités au fil de leur découverte, ce qui lui a permis d’améliorer sa posture de risque de 28 % en 6 mois.
« Snyk a vraiment permis aux développeurs de penser à la sécurité à mesure qu’ils écrivent le code », explique Eric Cheng. « Ils sont également devenus bien plus proactifs en matière de correction des vulnérabilités. Ils reçoivent des alertes dès que de nouvelles vulnérabilités sont détectées et peuvent donc les traiter en priorité. »
Autre avantage de Snyk : la possibilité de découvrir les vulnérabilités via sa base de données complète. 19 % des vulnérabilités intermédiaires corrigées par Komatsu ne pouvaient être détectées que par Snyk. C’est par exemple le cas d’une vulnérabilité repérée lors de l’utilisation d’une API avec une application métier très utilisée. L’équipe a pu corriger la vulnérabilité et publier une mise à jour.
« Nous avons commencé à beaucoup utiliser Snyk dans divers secteurs de notre entreprise et avons pu repérer de nombreuses vulnérabilités que nous n’aurions jamais vues autrement. Snyk nous permet aussi de limiter et résoudre ces vulnérabilités rapidement et plus tôt dans le cycle de développement. »
L’année dernière, Komatsu s’est concentrée sur le déploiement de Snyk pour améliorer sa visibilité sur sa posture en matière de sécurité des applications. Désormais, l’équipe d’Eric Cheng veut optimiser la maturité de son programme AppSec avec la modélisation des menaces, la normalisation de son processus de gestion des vulnérabilités, l’amélioration des rapports de sécurité et la mise en place de diverses autres meilleures pratiques.
« Nous sommes très satisfaits de Snyk. Dès que nous parlons sécurité avec des fournisseurs, c’est l’éditeur que nous leur recommandons », conclut Eric Cheng. « Nos pratiques de sécurité se transmettent à ces fournisseurs, et au final, ils livrent à nos clients des produits bien mieux sécurisés. »