Sonatype dévoile sa solution complète de gestion de la chaîne logistique logicielle | Communiqué de presse

Equifax transforme sa sécurité avec succès

Suivi open source avec Nexus Lifecycle

Equifax – Transformation de la sécurité avec Sonatype Nexus

Lorsque Bryson Koehler (directeur technique) et Jamil Farshchi (RSSI) ont été chargés de repenser l'infrastructure technique et de sécurité d'Equifax suite à la violation de 2017, ils étaient parfaitement conscients que des changements culturels devaient être amorcés dans l'entreprise avant même qu'une solution technologique puisse être envisagée. L'équipe responsable de la technologie et celle de la sécurité devaient s'accorder sur une seule et même vision. Cette vision englobe 57 centres de données, 64 000 éléments dans l'environnement informatique et 5 500 bases de données dans 24 pays.

La première étape de refonte de la culture d'entreprise a consisté à observer attentivement l'équipe de 8 500 professionnels de la technologie répartis à travers le monde. Ils ont alors découvert que 20 % de cette équipe avaient une formation dans un domaine technologique, tandis que 80 % se concentraient sur la conformité et l'administration des systèmes. Des équipes entières ont dû être supprimées afin d'appliquer de nouvelles politiques et faire comprendre à l'ensemble de l'entreprise que les changements ne devaient pas être pris à la légère. 25 % de l'équipe responsable de la technologie a été renouvelée la première année. Cette équipe est désormais composée à 79 % de professionnels ayant des compétences techniques.

« Nous avons modifié la structure hiérarchique afin que les équipes responsables de la sécurité dépendent directement du PDG. Nous étions la première société cotée en bourse à intégrer la sécurité aux revues de performance de chacun », déclare Jamil Farshchi. Pour chaque employé d'Equifax pouvant recevoir des primes, la structure de celles-ci repose sur l'atteinte d'objectifs de sécurité. « Si vous faites partie des RH, aidez-nous au moment du recrutement. Si vous êtes au service financier, veillez à ce que nous disposions des fonds nécessaires à la mise en œuvre de nos engagements. Chaque personne a un rôle à jouer. »

La nouvelle structure garantit l'intégration des équipes responsables de la sécurité de l'information à tous les groupes de l'entreprise. Dans le fonctionnement quotidien, la frontière entre la sécurité et la technique s'estompe. Il s'agit de l'un des changements culturels les plus importants opérés par l'entreprise.

Jamil Farshchi décrit la philosophie qui sous-tend son approche d'une sécurité appliquée à toute l'entreprise. « La sécurité est l'équivalent du canari dans une mine de charbon pour une entreprise informatique qui fonctionne mal. Si des problèmes de sécurité émergent, ils sont souvent dus à de mauvaises pratiques informatiques et technologiques. Lorsque des applications en production comportent des vulnérabilités, ce sont souvent les processus manuels qui sont en cause ou le fait que vous n'ayez pas d'outils de sécurité intégrés au pipeline CI/CD. »

Les techniciens responsables de la fiabilité des sites doivent veiller au bon état de leurs environnements. Ils se concentrent sur la compréhension des outils et fonctionnalités à leur disposition. Ils doivent vérifier que ces derniers sont exploités au maximum de leurs capacités. « Vous le créez. Vous l'exploitez. Vous en êtes responsables. »

« Si vous n'avancez pas au même rythme qu'une entreprise qui se remet d'une violation, alors vous n'avancez pas assez vite. »
– Jamil Farshchi, RSSI, Equifax

Utilisation de Nexus Lifecycle et Nexus Repository pour soutenir la CI/CD sur l'ensemble de son pipeline open source

La gestion des bibliothèques et structures open source était très peu avancée, ainsi que leur adoption au sein de l'entreprise, lorsque Bryson Koehler et Jamil Farshchi sont arrivés en 2018. L'équipe précédente avait seulement pris en main la résolution des problèmes de gestion des bibliothèques. Avec la nouvelle culture, il fallait envisager une approche plus complète et holistique. La plateforme Nexus, notamment Nexus Lifecycle et Nexus Repository, faisait partie de la solution proposée. D'après Bryson Koehler, « L'utilisation de la plateforme Nexus est indispensable. La plateforme fait partie intégrante de la solution. Elle est intégrée à la globalité de l'approche et du pipeline CI/CD. » 

Bryson Koehler explique que l'utilisation de la plateforme Nexus aide à gérer et surveiller l'environnement de production. « Si vous traitez l'infrastructure comme le code et que vous respectez une certaine discipline en matière de développement dans le cloud, votre repository d'artefacts devient votre repository de production. Si vous suivez vraiment le modèle “déployer et détruire”, vous devriez être capable de savoir exactement ce qui tourne en production. » Dans son pipeline d'ensemble de solutions, Equifax utilise Nexus Lifecycle pour suivre en temps réel les composants open source en production, avec notamment la création d'une software bill of materials générée en fonction de ce qui est déployé dans l'environnement de production.

« Au fur et à mesure que nous migrons vers nos environnements cloud, nous veillons à agir de façon disciplinée afin d'être en mesure de savoir ce qui se trouve en production à tout moment en consultant notre repository. Ce dernier doit nous indiquer en permanence ce qui est déployé en production, du point de vue de l'infrastructure, de la bibliothèque et des applications. »

L'utilisation de la plateforme Nexus pour suivre l'utilisation et la consommation d'open source au sein de notre organisation est « importante pour nous. Selon nous, l'application de correctifs ne doit pas être utilisée en réponse à une vulnérabilité. Il s'agit plutôt d'une démarche proactive. » Au fur et à mesure que les bibliothèques et les composants sont mis à jour dans la communauté open source, Nexus Lifecycle suit les composants en production et informe l'équipe Equifax des nouvelles versions disponibles. Cette approche proactive permet à l'équipe de maintenir une qualité élevée en production grâce à un processus automatisé de recherche et de notification.

Bryson Koehler d'Equifax au RSA

Les équipes doivent évaluer les risques, ce que contiennent les correctifs et comment ceux-ci pourraient affecter l'environnement actuel. « Que nous soyons au courant d'une vulnérabilité existante ou d'un moyen d'exploiter le problème, ce n'est PAS comme cela que nous voyons les choses, explique Bryson Koehler. Si un problème est connu et qu'un membre de la communauté open source le résout, nous devons également le corriger. Si vous n'êtes pas au courant de ces informations, vous pouvez passer à côté d'éléments vraiment importants. Nexus Lifecycle nous aide à rester toujours au courant de ces évolutions. Avec Nexus Lifecycle, nous sommes sûrs de ne rien rater. »

Nexus Lifecycle fait partie de la solution qui aide à évaluer et cartographier ces risques, en cohérence avec la création des indicateurs de sécurité définis par l'entreprise.

Préparer l'avenir grâce à la transformation culturelle du DevSecOps

Equifax vise une transformation de sept ans sur une période de trois ans. L'évolution de la « perspective base de données » à Google Cloud en tant que fournisseur principal de services de données sur le cloud a permis la transformation de l'ensemble de l'entreprise, depuis l'infrastructure jusqu'au sommet de la pile technologique. La plateforme Nexus offre à Equifax un avantage concurrentiel important au fur et à mesure de la transition culturelle de l'entreprise. 

« Nous ne déplaçons pas les données, nous les réingérons, explique Bryson Koehler. Nous pouvons ainsi appliquer toutes les règles, de sécurité ou de régulation, à l'ensemble de notre organisation. » Une telle transition serait impossible sans automatisation de la sécurité dans le pipeline de production. « Vous devez intégrer ce sentiment d'urgence à la culture de l'entreprise. C'est la seule façon d'être compétitif à long terme. »

Jamil Farshchi est d'accord. « Si vous n'avancez pas au même rythme qu'une entreprise qui se remet d'une violation, alors vous n'avancez pas assez vite. Nous n'appliquons plus de "correctifs" en production. Nous déployons de nouveaux environnements. L'approche est radicalement différente. Le fait de déplacer les bases de données vers le cloud implique un changement complet de mentalité. »

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.