Face à l’accélération de la fréquence de livraison pour les équipes de développement et à l’augmentation des menaces de sécurité, Carrefour a fait appel à Devoteam pour la mise en place d’une approche de Security by design. Celle-ci consiste à intégrer la sécurité dès la conception des applications.
Le contexte
Le groupe Carrefour est un groupe français de la grande distribution fondé en 1959 qui n’a cessé de s’étendre depuis. Le principal métier du groupe est la distribution alimentaire et non alimentaire. Pour cela, Carrefour compte plus de 12 000 magasins à travers le monde. Le groupe est aujourd’hui présent dans plus de 30 pays et compte plus de 321 000 collaborateurs, dont 105 000 en France uniquement, ce qui fait de lui le plus grand employeur privé de France.
Étant l’un des acteurs majeurs de l’industrie et de la grande distribution, banque et assurance, Carrefour développe ses propres applications en interne et sécurise le cycle de vie de ses projets IT grâce à l’accompagnement de Devoteam.
Le challenge
La fréquence de livraison s’accélère pour les équipes de développement et les équipes de sécurité doivent faire face à des menaces de plus en plus sophistiquées et de plus en plus régulières.
Dans ce contexte, l’implication de la sécurité dès la conception des applications devient une nécessité.
Nous nous trouvons donc dans un paradigme de développement agile et de déploiement continu. Appliquer la sécurité uniquement à la fin du développement, par un audit de sécurité, n’est plus suffisant.
Par ailleurs, corriger une vulnérabilité de sécurité coûte bien plus cher, en temps et en argent, quand cela est réalisé en prod ou pré-prod plutôt qu’aux étapes de conception et de développement.
Au sein d’un grand groupe comme Carrefour de nombreuses technologies sont utilisées, ce qui complexifie la gestion de la sécurité applicative. Cependant, qu’importe la technologie : Web, API, Low-Code, Client lourd, Mobile, Infrastructure As Code… Les développements doivent aujourd’hui suivre la culture du “Security by design”.
La solution
Afin d’accompagner Carrefour France à améliorer le niveau de sécurité des applications, Devoteam a proposé une équipe composée de trois Devoteamers dont un Application Security Manager et deux auditeurs en cybersécurité applicative qui interviennent au sein de la cellule sécurité applicative chez Carrefour.
Pour relever ce défi, Devoteam a suggéré une stratégie en 3 étapes :
- Convaincre les développeurs de prendre en charge une partie de la sécurité de leur application en les sensibilisant et en les formant au développement sécurisé. Il est en effet nécessaire de leur faire comprendre l’importance de la prise en compte de la sécurité le plus tôt possible dans leur projet avant de les aider à le faire. Cette étape se traduit par de nombreuses sessions de formations sur le développement sécurisé et notamment sur le TOP 10 OWASP dans différents langages de programmation (Java, PHP, NodeJS, .NET, Pyhton).
- Intégrer la sécurité à toutes les étapes du DevOps et de la chaîne CI/CD et les accompagner au quotidien dans la réalisation de ces nouvelles tâches.
- Piloter l’ensemble des vulnérabilités pour planifier les remédiations de manière agile et déployer l’expérience sur l’ensemble des équipes de développement. De plus, cela permet de montrer des indicateurs de performance lors des comités de sécurité mensuels.
Le projet
Depuis mars 2021, Devoteam accompagne Carrefour à améliorer la sécurité de ses applications en s’appuyant sur plusieurs piliers. Le premier volet de cet accompagnement s’appuie sur la partie sensibilisation des acteurs d’un projet, notamment les développeurs, PO, PM, architectes et chefs de projet à la sécurité applicative. Cela se traduit notamment par des formations au développement sécurisé dans certains langages comme le .NET, JavaScript ou bien Kotlin et un accompagnement quotidien des développeurs à la remédiation des différentes vulnérabilités identifiées lors des audits de code source. L’audit de code consiste à parcourir le code source d’un logiciel afin de s’assurer du respect de règles de sécurité.
Le second volet consiste à réaliser des audits de code source sur les applications de Carrefour France de manière manuelle et automatisée avec un outil de type SAST (Static application security testing). A ce jour, l’équipe Devoteam assure la sécurité de l’ensemble des applications sur le périmètre France.
En parallèle des audits de code, Devoteam propose une revue complète du processus et de la démarche SecDevOps. Celle-ci porte maintenant pleinement ses fruits, avec notamment un travail important sur l’intégration dans l’Agile Fabric (plateforme Devops Carrefour), sur la qualification des vulnérabilités et la réduction drastique du nombre de faux positifs. Cela fait gagner beaucoup de temps aux équipes et permet d’obtenir des indicateurs de performance bien plus fiables pour le pilotage des vulnérabilités.
De plus, cette démarche s’intègre parfaitement dans la trajectoire du Groupe Carrefour qui a pour objectif d’accélérer sa transition vers le Cloud.
Quels sont les principaux bénéfices pour le client ?
- Création et adhésion des équipes à une réelle culture SecDevOps
- Sensibilisations de nombreux acteurs à la sécurité applicative
- La majorité des applications sont maintenant analysées avec une approche sécurité
- Accompagnement au quotidien des développeurs, lead devs, architectes au sein des différents départements de développements.
- Le suivi des vulnérabilités / remédiations grâce aux outils en place (Google Data Studio)
- 75% des vulnérabilités ont été corrigées depuis le début de cet accompagnement par l’équipe Devoteam.
