Especializada en inversiones en activos no cotizados, Ardian gestiona una cartera de aproximadamente 156 mil millones de euros. En esta actividad, que emplea a más de 1.050 personas en total, las TI desempeñan evidentemente un papel fundamental. El departamento de TI de la sociedad de capital privado, que se separó del grupo Axa hace diez años, reúne a unas 250 personas, responsables en particular del desarrollo y mantenimiento de aplicaciones que apoyan las actividades comerciales. "Aunque operamos algunos servicios SaaS, la mayoría de estas aplicaciones se desarrollan internamente", afirma Jean-Baptiste Granet, responsable de seguridad informática de Ardian.
Si este alcance se mantiene sin cambios, las formas de hacer las cosas han evolucionado en gran medida, con la llegada de devops y metodologías ágiles. Paralelamente, el deseo de los equipos de seguridad de integrar las auditorías de código en las cadenas de DevOps. Un enfoque llamado Shift Left, en la jerga, que consiste en incorporar las buenas prácticas de seguridad a las actividades de desarrollo, en lugar de limitarlas a las fases posteriores. Esta transformación de los métodos de desarrollo y la integración de la seguridad han llevado a cambios profundos en la forma de trabajar de los equipos y las herramientas asociadas.
Una primera fase con una veintena de solicitudes
“Primero realizamos un trabajo de sensibilización y capacitación en equipo, con la creación de una comunidad llamada Security Champions. El objetivo era delegar parte de la seguridad a responsables de proyectos y responsables de tecnología”, afirma el responsable de ciberseguridad. En el menú en particular: entrenamiento ofensivo, que permite desmantelar la mecánica de un ataque, pero también entrenamiento defensivo, para identificar formas de protegerse de estas técnicas.
El deseo de Ardian de integrar la seguridad en el corazón del proceso de desarrollo también se refleja en la implementación de una herramienta de auditoría de código. Después de una prueba comparativa que permitió comprobar la integridad de las diferentes soluciones, la calidad de las auditorías y la capacidad de integración en los entornos técnicos ya implementados, el departamento de TI seleccionó la oferta de la editorial estadounidense Veracode. “Comenzamos centrándonos en las áreas que deseaban integrarse en la solución y presentaban una cierta criticidad”, indica Jean-Baptiste Granet. Sin embargo, con el claro objetivo de generalizar el enfoque a todos los códigos fuente. »
La primera fase del proyecto, que duró alrededor de un año, contó con una veintena de solicitudes. Permitió probar la solución en diferentes idiomas y con equipos con diferentes niveles de madurez. Actualmente está en marcha la fase de generalización, que afecta a otras 47 solicitudes. "Todos los equipos de desarrollo querían integrarse con la solución de auditoría de código porque ahora ven su valor", asegura nuestro interlocutor. Según este último, el despliegue de auditorías de código ciertamente ha ralentizado ligeramente los procesos de desarrollo - que van de 10 a 20 minutos por ejemplo -, "pero a lo largo de todo el proyecto, ahorran mucho tiempo, porque no tenemos que descubre más vulnerabilidades al final del proceso, que ha requerido horas e incluso días de trabajo”, afirma Jean-Baptiste Granet.
Para alertar a los desarrolladores, correos electrónicos simples
“Hemos optado por implementar escaneos de código a lo largo de nuestra cadena de integración continua, con comprobaciones iniciales desde el sandbox, luego escaneos entre aplicaciones en la rama de desarrollo principal y, finalmente, una verificación al comienzo de la implementación, esta última con un bloqueo. naturaleza para garantizar el cumplimiento de las políticas de seguridad antes de cualquier lanzamiento a producción”, explica el directivo. El equipo responsable del ciber, que incluye siete personas más proveedores de servicios, ha optado por integrar de forma nativa la solución Veracode en la cadena Devops de Ardian, alojada en Azure.
“Reconstruimos una capa de middleware para enviar comentarios a los desarrolladores por correo electrónico, según formatos predefinidos y con archivos adjuntos que ofrecen los detalles necesarios, porque era su opción preferida”, resume Jean-Baptiste Granet. Sólo los equipos encargados de la seguridad acceden a la plataforma Veracode para administrarla y definir políticas de seguridad. “También delegamos ciertos elementos a Security Champions”, explica el responsable de ciberseguridad, quien también destaca la sencillez de integrar nuevos perímetros en la solución, mediante plantillas.
Integre la infraestructura como código
Si Ardian planea probar las funciones de remediación automática, la compañía ha implementado actualmente un proceso de gestión de vulnerabilidades para priorizarlas y corregirlas. “Por un lado, nuestro enfoque consiste, en particular mediante formación y herramientas, en no implementar nuevas vulnerabilidades. Por otra parte, estamos trabajando para corregir la acumulación de vulnerabilidades, priorizando estas correcciones en función de la criticidad de los defectos y generalizando las correcciones a todos los despliegues afectados”, especifica Jean-Baptiste Granet. Trabajo en profundidad para el que Veracode proporciona indicaciones sobre las vulnerabilidades a corregir y su nivel de criticidad. "En la primera fase del proyecto, dedicamos alrededor de 6 meses a la integración y otros 6 meses a lograr que las aplicaciones dentro del alcance cumplieran los requisitos", explica el responsable de seguridad de TI de Ardian.
Hoy, el equipo de ciberseguridad de Ardian planea extender este mecanismo a cuestiones de infraestructura. "A medida que avanzamos hacia un modelo de infraestructura como código, basado en contenedores, queremos generalizar el modelo implementado en las aplicaciones", señala Jean-Baptiste Granet. Esto tiene tanto más sentido cuanto que los operadores están cada vez más integrados en los equipos de aplicaciones. » Están en marcha las pruebas de la solución Veracode en este nuevo alcance.
Otras noticias que te pueden interesar