Sonatype dévoile sa solution complète de gestion de la chaîne logistique logicielle | Communiqué de presse

Transformation Agile chez TD Bank

La gouvernance en amont avec la plateforme Nexus

Depuis plus de 150 ans, TD Bank donne la priorité à la commodité et aux services offerts à ses clients. La banque a ouvert ses portes en 1852, sous le nom de Portland Savings Bank. Au cours du siècle et demi qui a suivi, la société s'est développée grâce à une série de fusions et d'acquisitions. Au début des années 2000, la banque était connue sous le nom de BankNorth et elle a attiré l'attention du groupe TD Bank de Toronto, au Canada. La multinationale canadienne est rapidement devenue le principal actionnaire de BankNorth, puis a finalisé l'acquisition en 2007.

En matière de méthodologie de développement logiciel, TD Bank a suivi une approche traditionnelle en cascade jusqu'en 2014. C'est à peu près à cette époque que la société a ressenti la nécessité de moderniser à la fois son approche et ses outils. Elle s'est donc lancée dans une transformation agile.

Bill McArthur, responsable de l'ingénierie du développement, et Sladjana Jovanovic, vice-présidente des technologies des paiements d'entreprise, ont tous deux joué un rôle clé dans le grand effort d'équipe à l'origine de cette transformation. Ils se sont en partie tournés vers la plateforme Nexus de Sonatype, notamment Nexus Lifecycle et Nexus Repository. Jason Hills, qui les a rejoints en tant que responsable de la sécurité des applications, les a aidés à progresser dans l'utilisation de cet outil.

Les difficultés

Toute personne ayant vécu une telle initiative vous le dira, une transformation agile est en soi un engagement fort. Trop souvent, le changement réellement nécessaire va au-delà du fait de changer de méthodologie de gestion de projet et de faire des réunions d'équipe différentes. Les entreprises doivent changer leurs philosophies, leurs pratiques techniques et leurs outils.

Ce besoin de changement qui va plus loin que le simple choix de la méthodologie agile s'est présenté au sein de TD Bank avec une première grande difficulté : adopter des outils et une automatisation qui permettraient une cadence de livraison agile. Comme l'a dit Bill McArthur, pour travailler de manière agile, des outils modernes étaient nécessaires.

L'identification du besoin d'automatisation n'était qu'une première étape. Il fallait ensuite examiner une à une les lacunes, choisir les bons outils pour y remédier, puis analyser leur rentabilité. Les transformations d'entreprises se font rarement de manière monolithique et TD Bank n'a pas fait exception. En tant que premiers défenseurs de la transformation, Bill McArthur et Sladjana Jovanovic ont dû apporter des preuves d'efficacité des concepts proposés, puis aider à diffuser les choix effectués à d'autres secteurs de l'entreprise, pour que ces solutions deviennent la norme au sein de celle-ci.

Par exemple, TD Bank disposait d'un processus de développement et de déploiement qui comportait une étape de non-répudiation, plutôt lourde à réaliser manuellement. Sans une non-répudiation opportune des différents composants de build ou une véritable software bill of materials, il faut beaucoup plus de temps pour remonter à la version originale du logiciel en production. La situation est intenable pour les équipes qui déploient, gèrent et entretiennent les logiciels, tout en répondant à des demandes de Continuous Delivery en constante augmentation.

Un autre défi auquel TD Bank a dû faire face était l'obtention de l'approbation d'adoption des composants open-source et la définition de leur mode de gouvernance. Voici comment Bill McArthur a décrit la situation :

« Pour tous les logiciels libres, il y avait un groupe centralisé responsable de savoir qui les utilisait, pourquoi, où et quelles versions étaient autorisées. Il fallait obtenir une autorisation pour tout. »

Ce processus était long et nécessitait une main-d'œuvre importante. Tout un groupe de personnes devait faire des recherches manuelles tandis que les différentes équipes de développement applicatif attendaient simplement les résultats. Cette situation générait une de motivation plutôt négative, comme l'a décrit Bill McArthur : le processus d'obtention de l'approbation d'utilisation de tout composant open source était pénible. L'entreprise a donc naturellement observé un taux d'adoption limité.

Malgré ces difficultés rencontrées au cours des premiers temps de la transformation Agile, Bill McArthur, Sladjana Jovanovic et TD Bank ont été en mesure d'analyser la rentabilité de leurs solutions et de réaliser de nombreux progrès. Mais les progrès s'accompagnent de nouveaux défis.

Lorsque Steve Hills a rejoint TD Bank en 2018, plusieurs années plus tard, il a été confronté à un envahissant problème de sécurité des applications. Bien que TD Bank disposait alors de plus de données que jamais sur la sécurité et les vulnérabilités des déploiements, ces données n'étaient pas adaptées au risque métier. Les outils SAST (Test statique de la sécurité des applications) identifient de façon fiable les défauts de sécurité, cependant, ils manquent de contexte pour déterminer le niveau de gravité associé. Davantage de renseignements sur les risques sont nécessaires pour créer des KRI et des plans de correction pertinents. « Nous ajustons et personnalisons en permanence nos outils automatisés pour en améliorer la précision, puis nous intégrons ces résultats dans un outil de personnalisation de la gravité », a indiqué Steve Hills.

« La plateforme Nexus ne présume pas de la façon dont vous voulez l'utiliser. Elle vous fournit des informations. Elle vous fournit des données et vous donne ensuite les outils pour personnaliser ces informations et en faire ce que vous voulez. »

— Jason Hills, Directeur de la sécurité des applications, TD Bank

La solution

Lorsque TD Bank a commencé sa transformation Agile, Bill McArthur et Sladjana Jovanovic ont rapidement compris qu'ils auraient besoin de changer radicalement les outils, les pratiques et la philosophie de l'entreprise. L'un des principes fondamentaux de la méthodologie Agile consiste à fournir des logiciels opérationnels, tôt dans le projet et souvent. Pour une entreprise ayant longtemps travaillé avec la méthode traditionnelle de développement en cascade, comme TD Bank, cette évolution a nécessité plus que de simples étapes de déploiement. Elle a nécessité un remaniement complet des outils.

TD Bank a adopté cette approche, sous l'impulsion de Bill McArthur et Sladjana Jovanovic. Voici comment Bill McArthur a décrit l'adoption des outils qui a accompagné la transformation Agile :

« Pour travailler de manière agile, nous devions moderniser efficacement nos outils. Nous avons donc saisi cette occasion de le faire également dans nos environnements de développement, grâce à tous nos outils de CI. C'est alors que nous avons adopté la suite Atlassian et la plateforme Nexus. Nous avons commencé à avancer à partir de la CI. »

Ces outils étaient essentiels pour relever le défi de l'agilité — la demande d'une cadence de déploiement plus rapide. Ils ont également permis de résoudre d'autres difficultés. Par exemple, cette cadence de déploiement accélérée a créé d'autres difficultés pour la banque en matière de non-répudiation et de comptabilisation des composants en production. En adoptant Nexus Repository, TD Bank a pu retracer rapidement et pour de bon tous les composants déployés en production et les comptabiliser.

Les avantages de l'amélioration des outils ne s'arrêtent pas là non plus. TD Bank a pu déplacer son cycle de gouvernance en amont et ainsi devenir beaucoup plus efficace. En utilisant Nexus Lifecycle, TD Bank a remédié à deux problèmes majeurs : un long processus d'évaluation des composants nécessitant une main-d'œuvre importante et le rejet des technologies open source. Nexus Lifecycle a transformé un processus manuel qui prenait d'innombrables heures de travail en un processus automatisé, que les techniciens utilisent désormais par eux-mêmes en quelques minutes.

En s'appuyant sur des victoires comme celle-ci, Bill McArthur et Sladjana Jovanovic ont pu amener la transformation et les changements Agile à leur masse critique. Sladjana Jovanovic a souligné qu'en matière de changement organisationnel, « les changements de poche n'ont aucun intérêt. » Bill McArthur et Sladjana Jovanovic ont poursuivi sur leur lancée et ont mis en œuvre ces changements dans le cadre d'une initiative organisationnelle de grande envergure. « Il a fallu cette initiative de grande envergure pour faire avancer, structurer et officialiser l'évolution en cours, » a déclaré Sladjana Jovanovic.

La transformation Agile, l'amélioration des outils et leur adoption au sein de l'entreprise avaient atteint le point de basculement. Cependant, même une fois à ce stade, ni les défis ni l'innovation ne se sont arrêtés. Dès son arrivée à TD Bank, Steve Hills a reconnu la pertinence des outils et rapports mis en place, tout en identifiant des domaines d'amélioration. Les rapports consolidés utilisés par TD Bank ne faisaient pas de distinction entre le code développé en interne et le code provenant de bibliothèques tierces. Si les outils SAST ne font pas cette différence, Nexus Lifecycle la fait. « Lifecycle est hautement personnalisable, ce qui nous a permis non seulement d'identifier les composants tiers, mais aussi de cataloguer nos composants internes et propriétaires. Ce niveau de détail dans la bill of materials de notre entreprise est essentiel pour comprendre les risques sur l'ensemble du portefeuille. Si je devais lancer un programme de sécurité des applications de zéro, la première chose que je ferais serait de créer cette bill of materials, » a déclaré Steve Hills.

Alors que TD Bank continue à s'améliorer et à relever de nouveaux défis, la plateforme Nexus continue à fournir les outils qui lui permettent de le faire.

Le résultat

La transformation Agile réussie par TD Bank est impressionnante. L'entreprise a reconnu et accepté dès le début que le passage à une nouvelle méthodologie nécessiterait des changements importants de ses outils et de son infrastructure.

Grâce à cette approche, la culture DevOps a naturellement émergé de la transformation agile. Sladjana Jovanovic mentionne que TD Bank a maintenant officiellement adopté les pratiques DevOps et Bill McArthur souligne que leur stratégie holistique précoce a permis à l'équipe d'adopter une approche DevOps quasiment dès le début. 

Avec de bons outils, une solide discipline organisationnelle et de précieuses analyses de rentabilité, les changements sont inévitablement adoptés à l'échelle de l'entreprise. Le fait que cette adoption semble évidente rétrospectivement ne la rend pas moins impressionnante.

Les changements organisationnels sont profonds. Toutes les parties prenantes peuvent en prendre conscience, surtout lorsqu'elles se souviennent de l'ancien fonctionnement. En repensant au processus d'évaluation manuelle des composants qui a précédé la plateforme Nexus, Bill McArthur déclare : « Je ne peux même pas imaginer ce qu'un retour à un processus manuel représenterait de nos jours. Je ne peux même pas imaginer combien de temps cela prendrait, car, à l'époque, nous utilisions délibérément moins de logiciels open source pour limiter cette pénibilité. »

Il n'y a peut-être pas de meilleur signe d'une transformation réussie que le fait que les anciennes façons de faire deviennent impensables, grâce à l'efficacité des nouvelles.

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.