Défis
La gestion d’ensembles de règles pour les trois fournisseurs de services cloud dans l’environnement de Bouygues Telecom accroît la complexité et la charge de gestion à l’équipe cloud.
Comme l'accès aux applications et aux projets était limité pour de nombreuses équipes de Bouygues Telecom, y compris l'équipe de sécurité, celles-ci devaient envoyer un e-mail à l'équipe Cloud pour obtenir de l'aide, ce qui augmentait la charge de travail des membres de cette équipe.
L’adoption planifiée de Kubernetes et des technologies sans serveur a potentiellement ouvert de nouvelles surfaces de sécurité qui ont entravé l’adoption des nouveaux services.
Solutions
Bouygues Telecom applique le même ensemble de règles à chaque charge de travail, quel que soit le cloud qu’elle exécute, à l’aide de contrôles natifs inclus dans Wiz.
Bouygues Telecom fournit un accès aux applications aux équipes de sécurité et d'architecture ainsi qu'aux chefs de projet, réduisant ainsi la charge de remédiation des incidents et des vulnérabilités pour l'équipe cloud, grâce à Wiz RBAC.
Bouygues Telecom explore le potentiel de Wiz pour gérer les environnements Kubernetes et sans serveur qui devraient dominer son architecture d’ici deux à trois ans.
Stimuler l’innovation dans les télécommunications
La connectivité est cruciale pour les citoyens et les entreprises dans toute la France, et l’ouverture du marché des télécommunications du pays à de nouveaux opérateurs en 1998 a permis d’élargir la gamme et la qualité des services disponibles. Bouygues Telecom a été l’un des premiers opérateurs à entrer sur le marché nouvellement concurrentiel et fournit des connexions voix et données de haute qualité à ses clients. Entreprise agile comptant près de 8 000 collaborateurs, Bouygues Telecom est connu pour son innovation avec des réalisations telles que le lancement de l’IPTV sur le marché.
Assurer un environnement multi-cloud
En tant que responsable de l’expertise cloud chez Bouygues Telecom, Maël Louvet est responsable de la création et de l’exploitation d’une infrastructure multi-cloud intégrant AWS, GCP et Azure, ainsi que d’une large gamme de serveurs sur site. Son équipe de 10 architectes fournit des services de gouvernance, d’orientation et d’architecture de sécurité pour toutes les plateformes cloud. « Nous effectuons beaucoup de travail de conseil avec les équipes d’application et d’exploitation qui travaillent sur différentes plateformes cloud, explique M. Louvet.
Nous travaillons en étroite collaboration avec des fournisseurs de cloud tels qu’AWS, GCP et Azure pour aider les clients à accéder à de nouveaux réseaux, technologies et médias sociaux, et nous appliquons une prime aux abonnements pour investir dans l’amélioration de la qualité de nos réseaux. »
Pour réaliser tout le potentiel de son investissement multi-cloud, Bouygues Telecom fait évoluer son architecture applicative pour intégrer des technologies serverless et migre vers le système d’orchestration de conteneurs open source Kubernetes afin d’assurer la standardisation des applications existantes et serverless. L’entreprise est également en train de passer au logiciel en tant que service (SaaS) pour les applications qu’elle ne peut pas gérer facilement dans Kubernetes en raison de la complexité de la gestion d’un large éventail de microservices.
Utiliser la Sécurité dès la conception pour protéger un environnement multi-cloud
Bouygues Telecom applique une méthodologie de Security by Design pour protéger son environnement multi-cloud. Cette approche intègre la sécurité dans chaque couche de son architecture technologique et garantit que chaque utilisateur ou système n’accède qu’aux systèmes et aux données nécessaires à l’exécution des tâches autorisées.
Les mesures mises en place par l’équipe de Louvet pour renforcer la sécurité sur l’ensemble de la plateforme Bouygues Telecom sont les suivantes :
automatisation de la création de plateformes pour améliorer le contrôle des déploiements ;
renforcement de l’autonomie pour permettre aux équipes et aux individus de gérer les applications qu’ils déploient sur la plateforme ;
travail en étroite collaboration avec l’équipe dédiée à la cyber-gouvernance de Bouygues Telecom sur une liste de contrôle de sécurité que chaque utilisateur doit examiner avant d’accéder à l’environnement cloud, et ;
utilisation d’un outil de sécurité pour automatiser le contrôle de l’environnement audité.
Rationalisation de la sécurité dans l’ensemble de l’organisation
Après avoir initialement utilisé un produit Cloud Security Posture Management (CSPM) d’un autre fournisseur qui n’a pas été à la hauteur, Bouygues Telecom est passé à Wiz. « C’est l’une des énormes améliorations que nous avons apportées pour nous assurer que la sécurité est au niveau que nous voulons, explique M. Louvet. Nous avons changé parce que nous mettons en œuvre une solution multicloud et que les charges de travail seront conçues pour AWS, GCP ou Azure. Notre outil de sécurité précédent nous aurait obligés à réécrire les règles pour chaque cloud, de sorte que nous aurions eu trois ensembles de règles spécifiques à suivre pour nous assurer que nous gardions les données et les systèmes de chaque cloud sécurisés. »
Wiz fournit également une contextualisation qui permet à Bouygues Telecom de corréler les données d’un problème à d’autres événements, vulnérabilités ou problèmes dans son environnement plus large, facilitant ainsi le travail des analystes de sécurité lors de l’examen du profil de risque de l’organisation. « Cette capacité était très intéressante pour nous et c’était quelque chose que nous ne voyions pas dans les solutions alternatives », explique Louvet.
Nous voulions appliquer les mêmes règles à tous les clouds avec lesquels nous travaillions, et nous avons essayé de nombreuses solutions pour y parvenir. Seul Wiz a fourni cette fonctionnalité embarquée nativement dans sa solution.
La mise en œuvre de Wiz étend la responsabilité en matière de sécurité à d’autres équipes
Grâce à la mise en œuvre de Wiz, la responsabilité de la sécurité chez le fournisseur de télécommunications s’étend de l’équipe cloud à d’autres équipes et individus au sein de l’entreprise. Les équipes de sécurité et d’architecture de Bouygues Telecom et ses chefs de projet acquièrent l’accès et l’autonomie nécessaires pour apporter des modifications aux applications qu’ils gèrent ou maintiennent et obtenir directement les données de sécurité dont ils ont besoin. « Lorsque nous pouvons donner un accès spécifique à un petit sous-ensemble de la plateforme par le biais d’un contrôle d’accès basé sur les rôles (RBAC), on peut très facilement rendre chaque équipe plus autonome, explique M. Louvet. Auparavant, nous ne pouvions fournir une vue d’ensemble qu’à un petit groupe de personnes, tandis que d’autres, qui n’y avaient peut-être pas accès, devaient vérifier auprès de nous s’il y avait un problème. »
La facilité d’intégration de Wiz a permis à Bouygues Telecom de connecter Wiz au système ServiceNow utilisé pour la gestion des services informatiques. Chaque incident ou vulnérabilité enregistré par Wiz génère un ticket dans ServiceNow qui est envoyé à l’équipe concernée pour être traité. « Étant donné que la direction suit les indicateurs clés de performance directement à partir d’un seul écran dans ServiceNow, il nous sera facile de mettre la pression sur les équipes qui ont besoin de corriger leurs déploiements ou d’assurer la conformité via ce système, explique M. Louvet. Le plugin ServiceNow proposé par Wiz rend ce processus relativement facile. »
Dans le cadre d’une Stratégie de décalage vers la gauche, l’équipe de Bouygues Telecom souhaitait que ses développeurs s’engagent dans le maintien de la sécurité de leur service. Pour atteindre cet objectif, ils ont utilisé l’outil de ligne de commande Wiz-cli pour vérifier le code avant son déploiement, et prévoient de terminer la mise en œuvre au début de 2023. « Le déploiement est toujours un défi pour chaque équipe informatique, et nous avons décidé de déployer chaque application à l’aide de l’intégration continue et du déploiement continu (CI/CD) avec une infrastructure en tant que code, explique M. Louvet. Nous obligeons chaque équipe interne à utiliser un outil CI/CD et ils doivent décrire toute l’infrastructure et le code d’application dans une base de projets GitLab. Maintenant que c’est en place, nous pouvons assurer beaucoup plus de sécurité, car il n’y a qu’une seule façon de déployer des ressources sur le cloud. »
Bouygues Telecom teste actuellement la sécurité des conteneurs de Wiz pour détecter et identifier les expositions sur les réseaux et les conteneurs. Une fois en place, Wiz vérifiera chaque partie de la plate-forme Bouygues Telecom, y compris les petits éléments des conteneurs dans Kubernetes, pour détecter les alertes de sécurité ou la non-conformité aux politiques de sécurité, et analysera les clusters Kubernetes à la recherche d’expositions réseau.
Kubernetes comprend beaucoup de petits blocs et dans chacun d’entre eux peut être une nouvelle faille de sécurité. Nous devons donc intervenir et utiliser Wiz à un niveau plus petit, pour nous assurer que chacun des déploiements sera toujours conforme aux règles de sécurité.
Dynamiser la culture et les pratiques de sécurité de Bouygues Telecom
Avec une solution sans agent qui offre une couverture et une visibilité complètes de son environnement, le déploiement de Wiz a dynamisé la culture et les pratiques de sécurité au sein de Bouygues Telecom. L’entreprise mesure le succès de son déploiement Wiz à l’aide de deux indicateurs clés de performance majeurs : l’engagement et l’adoption. « Le nombre de personnes qui souhaitent utiliser Wiz a augmenté extrêmement rapidement. L’année dernière, nous avons créé une petite équipe de champions de la sécurité pour former sur les sujets de sécurité, explique M. Louvet. Aujourd’hui, ce nombre est passé à 50 ou 60. De plus, nous organisons des réunions dédiées qui incluent la direction de nos énormes domaines de développement, et nous y affichons les tableaux de bord Wiz. Ensemble, ces éléments garantissent une excellente adoption et un véritable succès pour notre équipe. »
Bouygues Telecom récolte les fruits d’une visibilité accrue, d’une plus grande responsabilité en matière de résolution des vulnérabilités et des problèmes, et d’une allocation plus efficace des ressources. Grâce au tableau de bord Wiz, l’entreprise peut facilement vérifier l’état des vulnérabilités et des incidents sur plusieurs clouds, et l’outil offre une vue claire des équipes et des individus qui travaillent sur chaque problème. De plus, le Wiz Security Graph permet à l’entreprise d’identifier les différentes opérations accédant aux réseaux externes, ou de visualiser l’état de son réseau à un moment donné pour audit.
L’organisation peut désormais classer efficacement les problèmes et les vulnérabilités dans son architecture pour les résoudre. « Notre priorité absolue est l’exposition externe, et nous travaillons ici sur les problèmes et les vulnérabilités en fonction de la gravité, de l’exposition à Internet et de l’environnement, explique Louvet. Nous sommes particulièrement attentifs à notre environnement de production, dans lequel les données des clients sont stockées. »
L’environnement multi-cloud de Bouygues Telecom étant désormais sécurisé et fonctionnant sans problème, la maison mère de l’organisation, Bouygues Group, envisage d’étendre les missions de l’opérateur de télécommunications pour accompagner les équipes de l’ensemble de ses métiers. Ce rôle étendu peut également inclure l’infrastructure et les outils associés, ce qui pourrait permettre à Wiz d’assumer un rôle plus large dans la sécurisation des sociétés du groupe Bouygues.
Le déploiement de Wiz a été un tel succès que l’outil peut être utilisé dans toutes les entreprises détenues par notre société mère, Bouygues, y compris les entreprises de BTP, de développement immobilier et de médias.
