Artículo publicado el 31/10 a las 9:47 a.m., siguiendo las solicitudes de cambios en Engie

Especializado en la venta de energía y servicios a las personas, la gerencia convencional de Engie opera una docena de portales web, junto con sus respaldos y middleware en varios idiomas. Desde 2016, su CIO ha operado un giro a los métodos ágiles, que ha acelerado la migración a la nube de AWS, llevada a cabo entre 2018 y 2022. El 90% de los recursos se han llevado a entornos en la nube y el 80% de las aplicaciones ahora están contenidas y administradas a través de un proceso de CI/CD. El enérgico también estructuró su enfoque ágil con la creación de tres trenes seguros, contando entre 5 y 10 equipos ágiles cada uno.

También fue en 2022 que DSI France Retail decidió lanzar una auditoría de seguridad DevSecops, basada en DSOMM (Modelo de madurez DevSecops, un modelo publicado por la Fundación OWASP). Este control, dirigido tanto para evaluar la madurez de la organización hasta la fecha y definir un objetivo, destaca la necesidad de mejorar la seguridad de la aplicación. En particular para administrar mejor la obsolescencia de los componentes. "Faltan una herramientas y un proceso asociados", resume Thibault DuBois, jefe de proyectos cibernéticos para la gestión del consumidor en Engie, que habló durante los Assizes of Security (Mónaco, del 9 al 11 de octubre).

Pruebas de seguridad en tuberías de CI/CD

Con especificaciones para la producción de escaneos de código, pero también la detección de presencia de secretos o incluso errores de configuración de contenedores, Engie está buscando una solución capaz de fortalecer la seguridad de su aplicación. "Los desarrolladores querían usar una plataforma única, excluyendo el uso de múltiples herramientas de código abierto, y estábamos buscando una solución capaz de guiarnos en un segmento que no aprehendemos muy bien", dice el gerente de proyectos cibernéticos. Esta ruta lleva al Enérgico a optar a principios de 2023 para VerAcode, la solución del editor estadounidense que devuelve los positivos menos falsos entre las diferentes opciones probadas y que resulta en las necesidades de configuración más limitadas.

Primero, Engie utiliza la solución para implementar pruebas de seguridad en las tuberías de CI/CD. Según el Cyber ​​Project Manager, las solicitudes, escritas en 9 idiomas diferentes y dependen de 35 equipos de DevOps, ahora se benefician de estos escaneos de código. O alrededor de 1.500 cheques por mes. Para fortalecer la adopción de esta herramienta, la gestión del consumidor de Engie también está implementando Veracode directamente en entornos de desarrollo (IDE). El Enérgico también comenzó a probar una funcionalidad de IA integrada por el editor, Baptized Fix y ofreciendo opciones de remediación de desarrolladores de las vulnerabilidades descubiertas.

Vulnerabilidades de componentes para prioridad

La herramienta permite fortalecer el enfoque de DevSecops priorizando tanto la exposición a las amenazas cibernéticas como al cumplimiento de las directivas del grupo, en particular vinculadas a alertas de librerías obsoletas o bibliotecas, alertas planteadas por las herramientas del editor. Esto llevó al ISD del consumidor a dar prioridad a la remediación de las vulnerabilidades del tipo SCA (análisis de composición de software, en otras palabras vinculadas a los componentes), así como a la de alrededor de veinte vulnerabilidades aisladas en el código estático. "Este es un proyecto importante, porque reúne un trabajo que se ha asociado con un menor nivel de prioridad en los últimos años", dijo el gerente del proyecto, quien indica que esta reanudación de obsolescencia se completará a fin de año.

El despliegue de la solución Veracode se realizó en 18 meses. "La organización de trenes ha facilitado el despliegue, ya que le permite llegar a 7 u 8 equipos de DevOps a la vez", dijo el gerente de Cyber ​​Projects, quien explica que también apoyó a la comunidad de 'Campeones de Seguridad' integrados en los equipos de desarrollo.