Nexus Platform révolutionne l'open source chez BNP Paribas Personal Finance

Entre anticipation et définition du DevSecOps

Créé il y a plus de 200 ans, le groupe BNP Paribas fait aujourd'hui partie des 10 plus grands groupes bancaires internationaux, avec une présence dans plus de 72 pays. Toujours à l'avant-garde des mouvements mondiaux, la société a su « s'adapter aux défis actuels » afin d'assurer à ses clients une certaine stabilité dans un monde en constante évolution. À ce titre, les systèmes logiciels conçus pour accompagner son développement reposaient, la plupart du temps, sur des logiciels open source. Néanmoins, jusqu'à récemment, les équipes BNP Paribas étaient incapables de déterminer avec précision l'étendue de leur utilisation de ces logiciels, ni même de confirmer leur niveau de sécurité.

« La plateforme Nexus s'inscrit parfaitement dans notre stratégie de développement. Les bénéfices se sont fait sentir dès la première utilisation. Que l'on soit débutant ou expert, Nexus permet de trouver les solutions dont on a besoin. C'est vraiment génial. Toutes nos équipes sont ravies de pouvoir l'utiliser. »

— Bruno Darras, Head of DevOps for BNP PF

Sensibilisation à l'utilisation de l'open source : une révélation

devops man

Lorsque BNP Paribas Personal Finance s'est lancée dans l'évaluation de son utilisation des logiciels open source, la société savait pertinemment que la valeur tirée de cet écosystème était insuffisante. L'ensemble des bibliothèques se trouvaient au sein de repositories Git, et toutes ses procédures étaient manuelles : pour la société, l'idée d'automatiser les processus se trouvait encore à des années lumières.

Constatant ses lacunes en matière d'open source, la société a donc recherché de l'aide et a été dirigée vers Nexus Repository. La solution a permis d'apporter une transparence et une autonomie inédites aux quelque 250 développeurs des équipes DevOps. Ils ont ainsi pu savoir quels composants ils utilisaient et visualiser les dépendances. Mais pour y parvenir, ils ont dû briser les silos et les idées préconçues sur le déroulement du processus de développement. Avant de pouvoir gérer les bibliothèques via Nexus Repository, il leur fallait passer par les responsables afin d'obtenir l'accès aux stations de développement concernées et de pouvoir les télécharger.

La mise en œuvre de Nexus Repository a déclenché une véritable révolution au sein de BNP Paribas Personal Finance. La société savait qu'elle ne devait pas s'arrêter à la présence d'une bibliothèque open source, et que cette dernière, pour être disponible en permanence, devait être téléchargée. Gagner en maturité et évoluer avec le produit a permis BNP Paribas Personal Finance de développer des outils clés, de réaliser des tests et de mettre en place des essais. La société a alors pu approfondir sa compréhension de la gestion des dépendances et de la composition des logiciels d'un point de vue naturel. Elle a également saisi toute l'importance d'une meilleure appréhension de ses bibliothèques open source tout au long du cycle de développement et des potentiels risques qu'elles présentent. Or, les idées guidant la conception des logiciels évoluaient elles aussi : il y a de cela 10 ans, personne ne se posait la question de savoir quelles étaient les dépendances contenues dans une application tout juste développée. Sans surprise, la société a donc aussi très vite fait confiance à Nexus IQ.

BNP Money

Maturité rime avec clarté

Alors que BNP Paribas Personal Finance renforçait sa maîtrise de Nexus Repository et Nexus IQ, la société a été capable de lever le voile sur de nombreux éléments jusqu'alors inconnus. Nexus IQ a notamment permis à la société d'identifier les vulnérabilités et problèmes de licence à résoudre en mettant en lumière les équipes qui utilisaient des produits sous licence ; une information qu'elle n'aurait jamais pu obtenir auparavant. 

Bruno Darras, responsable DevOps chez BNP Paribas Personal Finance, est convaincu que l'utilisation régulière de la plateforme Nexus aide les équipes à se développer en découvrant sans cesse de nouvelles fonctionnalités utiles. Pour lui, prendre le temps de maîtriser la plateforme a permis aux équipes de mieux appréhender l'outil mais aussi l'utilité de chaque fonctionnalité et la façon dont tous ces éléments peuvent s'adapter aux différents aspects de la société.

Bruno et ses équipes ont énormément appris grâce aux rapports détaillés de Nexus IQ. Dans les mois à venir, ces rapports seront intégrés dans tous les formulaires de sécurité et tous les processus de vérification des applications. Les analyses et les résultats seront envoyés en amont aux responsables produit, qui devront donc s'employer ou exhorter leurs équipes à faire mieux. À terme, cela permettra de guider l'orientation et la gestion des ressources (qualité, vulnérabilité, etc.), de même que les outils utilisés dans le cadre des déploiements. Les produits Sonatype seront intégrés dans le tableau de bord des ressources afin d'obtenir une vue à 360 degrés de chacune d'entre elles.

La transformation culturelle comme clé du succès 

La plateforme Nexus révolutionne véritablement la façon dont BNP Paribas Personal Finance conçoit son logiciel. Et comme les intégrations font partie intégrante du développement de Nexus IQ, un formidable champ de possibilités s'ouvre pour la société. Pour elle, il n'est pas seulement question d'outils : le caractère humain, lui aussi, prime. BNP Paribas Personal Finance arbore une transformation culturelle dans laquelle les experts en sécurité, les architectes sécurité, les équipes de gestion des risques informatiques et l'assistance technique jouent un rôle essentiel, contribuant à la réussite sur le long terme de la société. La communauté ainsi créée doit se tenir disponible, prête à aider, former et guider les équipes de développement. Stimuler cette communauté et comprendre son rôle de soutien est indispensable, et les experts en sécurité jouent un rôle clé dans cette transformation. Jusqu'à présent, la société se concentrait davantage sur la mise en œuvre de l'aspect technique de la plateforme Nexus. Aujourd'hui, elle met plus de moyens à disposition de ses équipes et de leur formation. Le nouveau défi de BNP Paribas Personal Finance ? Repenser sa culture pour tirer pleinement parti de l'outil.

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.