single

     

Automatisation et intégration de la sécurité dans les équipes DevOps de la Société Générale

Image_digital-strategy_article_507
Pour faire de la RSSI un véritable business enabler, Cédric Thévenet croit en l'automatisation et à l'intégration de la sécurité dans les équipes DevOps
ITW : Cédric Thévenet, Deputy group IT infrastructure CISO and ORM chez la Société Générale

QUEL EST VOTRE PERIMETRE D'ACTIVITE EN TANT QUE RSSI ADJOINT ?

J'exerce mon activité au sein de Global Technology Services ; ce centre de services partagés regroupe environ 5000 personnes dans le monde et plusieurs dizaines de milliers de serveurs. Il sert les 3 piliers de la banque Société Générale (banque de détail en France, banque de détail et de financement à l'international, banque d'investissement et de marché). Mon rôle est à la fois de piloter la sécurité IT, le risque et la conformité.

QUELS ENJEUX MAJEURS RENCONTREZ-VOUS EN LA MATIERE ?

La transformation digitale est en train de prendre forme, elle est globale au niveau du groupe. L'idée est ici de mieux répondre aux nouveaux besoins digitaux, mieux servir le client tout en assurant la sécurité, la disponibilité et l'intégrité du système d'information. Pour achever ces objectifs il faut réduire la dimension pyramidale du management et redistribuer les responsabilités au niveau de l'activité. L'objectif : gagner en agilité, être plus réactif et plus rapide. Ce changement opéré au sein du groupe est également opéré en interne chez GTS, puisque nous mettons en place le travail en mode agile, avec des équipes beaucoup plus concentrées sur leurs projets et rassemblées sur un même plateau. Ceci implique de mettre en place des solutions de sécurité adaptées au but à atteindre et disponibles dans des délais restreints.

QUELS SONT LES AUTRES MARQUEURS DE CETTE TRANSFORMATION ?

Parmi les grands projets, nous avons une volonté d'aller vers le Cloud, privé mais aussi public. Nous travaillons évidemment sur la compliance, mais aussi sur un modèle permettant d'atteindre un « continuous delivery ». Pour ce faire, nous cherchons à automatiser au maximum la livraison des applications. L'accent est mis sur le développement de nouvelles API et sur la transition vers des systèmes de type dockers qui permettent de faire évoluer les applications plus facilement. Nous avons également prévu de passer sur de la revue de code automatique. En bref, nous nous transformons pour devenir non plus provider d'infrastructures mais provider d'applications d'infrastructures. C'est en tout cas ma conviction et je pense que nous apportons plus de valeur aux métiers ainsi. Au final, nous allons faciliter la vie de l'utilisateur sur l'ensemble du cycle en lui offrant une meilleure visibilité sur ce qui se passe sur l'infrastructure, un meilleur contrôle et une meilleure réactivité.

AVEZ-VOUS RECOURS AUX DEVOPS ?

Sur le périmètre Infra, nous travaillons sur ce type de développements car le cycle de vie des applications se réduit et nous avons besoin d'aller plus vite, tout en s'assurant de la qualité/sécurité du code. Il faut pouvoir répondre à la demande croissante d'agilité en assurant toujours un niveau de sécurité élevé. Il faut par exemple provisionner les VMs rapidement puis laisser la main aux métiers de manière à ce qu'ils puissent, en continu, créer ou supprimer leurs machines. Il s'agit de mieux protéger les applications et leurs données.

COMMENT METTRE A DISPOSITION UNE TELLE FACILITE ?

En se basant sur l'automatisation et le DevSecOps. Cela implique d'avoir en permanence des gens pour coder et améliorer les API, ainsi que des ressources sécurité pour les accompagner, de sorte à fournir un support aux métiers bancaires qui leur permettra de déployer leurs applications. D'une certaine manière, la sécurité doit devenir transparente pour l'utilisateur ; moins nous sommes visibles, mieux nous faisons notre travail. Nous ?uvrons à ce que nos clients internes trouvent ce dont ils ont besoin au moment ou ils en ont besoin. Il est primordial que la sécurité, intervenant au plus tôt dans les projets, participe au succès des projets en apportant toute l'aide et les conseils nécessaires à la réalisation d'une application robuste et sécurisée.

Pour consulter l'ensemble de l'ouvrage, cliquer ici