Interview de Joshua Monier, Responsable cybersécurité, pour la partie CRM, Groupe Decathlon
Le groupe de production et de distribution d'articles de sport Decathlon revendique aujourd’hui 93 710 collaborateurs pour 1687 points de vente mondiaux dont 328 en France. Joshua Monier, Responsable cybersécurité, pour la partie CRM dévoile les avantages d’une démarche DevSecOps dans l’entreprise et les bénéfices apportés par les solutions Checkmarx.
Votre démarche DevSecOps et Security by design est-elle globale ou concentrée sur une problématique ou une entité spécifique ?
Avec plusieurs « Business Unit » en constante progression, la stratégie cybersécurité de Décathlon est à la fois globale et locale. Si les solutions de Checkmarx ont été implémentées il y a 3 ans via une démarche initiée par le département CRM, leur application devrait rapidement se généraliser à d’autres départements du Groupe compte tenu de leur performance alliée au contexte sanitaire et sécuritaire complexe.
Chez Decathlon nous définissons le DevSecOps comme l’intégration d’une brique de sécurité, composée d’une ou de plusieurs solutions, à chaque étape de la chaine CI/CD - du Build jusqu’au Run. Cette brique va analyser le code source, les instances et les serveurs. Plus concrètement, en amont et au moment du Build, un audit organisationnel et fonctionnel du projet est réalisé. Il est suivi d’une phase design ou DevSec où l’on procède aux analyses de codes et des librairies open source. La partie finale ou SecOps comprend l’analyse des assets, de l’infrastructure et des images dockers. La protection de Runs est assurée par un WAF (Web Application Firewall). Nous ajoutons en complément dans nos projets DevSecOps des programmes de « Bug Bounty » pour découvrir différents types de vulnérabilités, dans une démarche d’amélioration continue.
Comment s’inscrit Checkmarx dans cette approche ?
Nous avons sélectionné trois solutions de Checkmarx :
Checkmarx SAST avec l’analyse classique de code source.
Checkmarx SCA qui permet l’analyse des librairies open sources. Cette solution nous a particulièrement bluffés non seulement par sa capacité à informer les équipes sur l’état des mises à jour et des vulnérabilités des librairies Open source utilisées mais aussi par sa participation à notre mise à niveau légale en mettant en lumière les risques juridiques associés. Nos développeurs sont aujourd’hui totalement informés des conflits inter-licences mais aussi de droits relatifs à leur exploitation.
Enfin, la partie Checkmarx Codebashing, permet d’apprendre aux développeurs à corriger les failles identifiées dans le code, et favorise leur montée en compétences sécuritaire. Ces derniers sont challengés tous les trois mois afin d’être capables de faire du DevSec de bout-en-bout.
Quels ont été les avantages d’intégrer la sécurité très tôt dans les processus DevOps ?
En cybersécurité, un ROI est très difficile à évaluer. Avant de disposer des solutions Checkmarx, les développeurs identifiaient les failles en bout de chaine après un audit et perdaient du temps à les corriger. De plus comme nous fonctionnons en mode agile, un code sans failles n’était pas garanti d’un sprint à un autre. Depuis, Decathlon a mis en place des politiques de vélocité de correction intégrées dans le cycle du développement de manière transparente. La dette de sécurité est ainsi amoindrie, les vulnérabilités sont détectées et corrigées en amont de manière rapide, éclairée et fluide. Pour faciliter la prise en main et l’accueil des solutions Checkmarx, Decathlon a développé, en complément de la mise à disposition d’un sponsor expert des questions DevOps et de la cybersécurité, chargé de la bonne transmission des messages, des actions de gamification avec Codebashing afin de faciliter la conduite du changement. Si Checkmarx participe grandement à la standardisation de nos codes, la forte montée en compétence des équipes au DevSec avec Checkmarx renforce la posture de sécurité de notre groupe.