Cegid confie la gestion des WAF à ses équipes DevOps
L’éditeur européen propose un vaste portefeuille de solutions de gestion cloud pour les entreprises, systématiquement protégées par un WAF. Lequel est intégré à son approche Infrastructure as Code.
Cegid commercialise ses solutions de gestion auprès de 750 000 entreprises dans plus de 130 pays, soit près de 21 millions d’utilisateurs au total. 74 % de l’activité de Cegid provient du cloud.
Historiquement, Cegid était un grand partenaire Microsoft, mais cette stratégie s’est élargie avec Oracle OCI et AWS. « Avant de nous diversifier, nous n’étions que sur Azure », raconte Ludovic Balmont, architecte réseaux et sécurité cloud chez Cegid, tout en précisant compter actuellement « encore 28 000 actifs sur Azure, sur 6 régions différentes dans le monde, dont la Chine ».
En parallèle de cette stratégie multicloud, l’éditeur doit maintenir un inventaire patrimonial assez fort, avec de l’ordre de 2 000 VM en production dans de multiples datacenters. « Historiquement, nous sommes arrivés sur le cloud assez tôt. Dès les années 2000, nous avons proposé nos premières applications en mode ASP (Application Service Provider) sur du Citrix dans nos datacenters, puis, dans les années 2010, nous sommes passés chez un infogéreur afin d’accompagner notre croissance et de pouvoir faire grossir le nombre de VM ».
C’est en 2017 que Cegid commence réellement à exploiter le cloud public. Ludovic Balmont adopte alors les bonnes pratiques de sécurité en vigueur à cette époque, c’est-à-dire la mise en place d’un hub de sécurité constitué d’instances de firewall dans lequel les applications sont configurées en mode Hub and Spoke. « Il s’est rapidement avéré que cette approche présentait de nombreuses contraintes au niveau des DevOps, mais aussi en termes de défense en profondeur, car il n’était pas possible d’analyser totalement le trafic entre applications ».
« Le problème était qu’un WAF cloud natif n’est pas simple à mettre en place et à opérer, avec des conflits entre l’équipe DevOps et l’équipe R&D. »
Ludovic BalmontArchitecte réseaux et sécurité cloud, Cegid
Toutes les applications devaient être connectées à ce hub, mais, suite à plusieurs acquisitions, certaines équipes travaillaient de leur côté en dehors de cette approche avec leurs propres solutions. Pour garder une certaine agilité et souplesse, la politique choisie fut de laisser ces équipes travailler comme elles l’entendaient, mais en mettant systématiquement un WAF devant leur application.
« Elles avaient interdiction d’exposer une application sur le Web sans un minimum de sécurité. Le problème était qu’un WAF cloud natif n’est pas simple à mettre en place et à opérer, avec des conflits entre l’équipe DevOps et l’équipe R&D qui devait opérer les WAF. Ces WAF envoyaient des logs à Elastic Search, Splunk, Dynatrace et fonctionnaient en mode détection pour les trois quarts d’entre eux… », retrace Ludocvic Balmont.
L’augmentation des tarifs Azure, un mal pour un bien
Après la crise de la Covid, la décision est prise de remettre à plat cette approche. Dans le même temps, la brusque augmentation des tarifs de Microsoft pousse alors la direction de Cegid à diversifier son éventail de fournisseurs cloud.
« Le WAF devait aussi apprendre du comportement de nos applications, mais aussi être utilisable par toutes les équipes. »
Ludovic BalmontArchitecte réseaux et sécurité cloud, Cegid
En 2024, les équipes d’architectes de l’éditeur se sont réunies pour élaborer une stratégie multicloud globale, et dans le cadre de ce projet, elles ont travaillé avec les équipes de sécurité pour préparer un cahier des charges très fouillé et définir quel serait le WAF idéal. Celui-ci devait répondre à toutes les contraintes de l’éditeur et être capable de protéger tant les applications on-premise que les applications SaaS, quel que soit le cloud. « Le WAF devait aussi apprendre du comportement de nos applications, mais aussi être utilisable par toutes les équipes », ajoute Ludovic Balmont.
De multiples solutions WAF ont été analysées, y compris open source, et c’est la solution Check Point qui a semblé correspondre le mieux aux attentes de l’éditeur. Un PoC est alors lancé avec sur une application encore en cours de développement. Un critère était décisif : « la solution devait absolument être pilotable en Infrastructure as code ».
Ludovic Balmont explique : « depuis des années, nos équipes DevOps déploient toutes les applications dans ce mode, avec Terraform et Ansible. Seule l’exposition au Web par le Hub de sécurité était encore réalisée manuellement par l’équipe sécurité réseau ».
Sur le papier, le WAF Check Point était pilotable via des API, même s’il s’est avéré que cette capacité a posé quelques soucis. « Je pense que nous étions pionniers sur ce type d’usage du WAF. Nous avons été accompagnés par un architecte solutions et nous avons pu remonter directement les problèmes rencontrés à l’équipe gestion de produit de Check Point, qui résolvait ceux-ci dans les heures qui suivaient. Ils ont été très réactifs et le PoC s’est bien passé ».
La volonté de Ludovic Balmont était vraiment de basculer ce PoC en production, ce qui a pu être réalisé à l’issue des tests. Selon lui, la solution est aujourd’hui très appréciée des DevOps : « nous disposons d’un portail unique auquel nous nous connectons en SSO. Les équipes DevOps disposent de leurs propres droits d’accès et ont la vision des logs. Les développeurs et ingénieurs sécurité et réseau peuvent échanger entre eux sur les éventuels problèmes rencontrés et les résoudre plus facilement, plutôt que de s’opposer les uns aux autres. Cela change vraiment la donne ».
En matière de gouvernance, les DevOps sont responsables du paramétrage des WAF. À cette fin, ils disposent des droits de lecture/écriture sur les paramètres. Les autres utilisateurs, comme la R&D par exemple, ont seulement un droit de lecture. Cela permet de garder plus de simplicité sur le contrôle des paramétrages et une gouvernance bien plus rigide.
Plus de visibilité sur le trafic réseau
« Sur un firewall classique, il est très compliqué de mettre en place l’inspection SSL sur les flux entrants. »
Ludovic BalmontArchitecte réseaux et sécurité cloud, Cegid
L’équipe de sécurité opérationnelle dispose aujourd’hui d’une visibilité sur les applications beaucoup plus grande que par le passé. « Nous voyons des choses que nous ne voyions pas avant : sur un firewall classique, il est très compliqué de mettre en place l’inspection SSL sur les flux entrants. Il faut mettre en place beaucoup de briques de sécurité complexes, notamment de la PKI, et cela consomme énormément de ressources CPU. L’avantage du WAF est que nous pouvons faire de la défense en profondeur, analyser les échanges au cœur des applications ».
De même, l’IPS intégré permet de voir l’arrivée de myriades de bots qui viennent scanner l’application et essayer des CVE dès que celle-ci est mise en ligne. Ces tentatives sont écartées alors que le WAF est encore en mode apprentissage.
Le déploiement du WAF Check Point est encore en cours dans le portefeuille applicatif de Cegid. Les applications les plus simples à migrer passent en priorité. Depuis début 2025, une dizaine d’applications ont été migrées sur le nouveau WAF. Pour Ludovic Balmont, forcer les équipes DevOps à adopter une nouvelle technologie de sécurité est voué à l’échec. La priorité est donnée à l’accompagnement. Dans cette optique, des templates Terraform et des documentations de mise en place et d’exploitation ont été écrits afin de faciliter l’adoption par les équipes DevOps..
