La Digital Factory de TotalEnergies uniformise la sécurité de ses clouds

Une organisation DevSecOps bien rodée

La Digital Factory (TDF) compte 300 personnes, avec une majorité de développeurs, de DevOps, des Tech Leads, des experts UX, des coachs Agile. Des équipes ont été formées pour opérer ces plateformes, avec des fonctions dédiées à Azure, à AWS, au CI/CD, à la Data, aux API, IoT, AI, et, plus récemment, à la Power Platform Microsoft pour fournir une solution low-code/no-code aux Citizen-Developers. Des squads qui sont dédiées pour opérer les plateformes et fournir l’infrastructure sur laquelle chacun va venir s’appuyer afin de créer des applications. En complément, des équipes transverses viennent opérer sur l’ensemble des solutions cloud, notamment l’équipe de cybersécurité.

Damien Godard, responsable cybersécurité pour la Digital Factory de TotalEnergies (TDF) en explique le rôle : « notre première mission est d’apporter la partie ingénierie de sécurité sur les applications. La deuxième mission concerne la sécurité des plateformes. On teste un petit peu leur self-service, leurs API, les designs implémentés et l’on vérifie tout ça. La troisième mission porte sur toutes les fonctions de CISO Office, sécurisation de l’écosystème de travail, des applications RH, etc. ».

Pour couvrir la sécurité de la centaine de produits développés à la TDF, un ingénieur de sécurité est affecté à chacune des 20 squads de la Digital Factory. « Pour passer à l’échelle, nous avons un peu modifié le modèle en gardant la philosophie avec ces notions de délégation », précise Damien Godard : « un cyberchampion a été nommé au sein de chaque squad et un Risk Manager pour chaque fournisseur afin d’aller porter la bonne parole et animer son réseau de cyberchampions dans les différentes squads du fournisseur. L’ensemble est coordonné avec un cybercoach et en lien avec nous et les fonctions corporate ».

Les contrôles implémentés des fournisseurs cloud ne suffisent pas

Pour limiter le risque d’exposition de ressources par maladresse, malveillance ou par facilité, TDF met bien évidemment en œuvre des landing zones où chaque application est isolée. Des contrôles sont implémentés sur chaque plateforme pour gouverner ce qui est autorisé ou pas, des policies sur Azure et des Guardrails sur AWS.

« Nous ne voulions pas un outil cyber pour l’équipe cyber, mais un outil que nous n’aurions presque pas à regarder…, et déléguer toutes ces notions de risques ainsi que leur traitement aux développeurs eux-mêmes. »

Mais « tous ces contrôles sont largement insuffisants », déplore Damien Godard. Et d’expliquer : « nous avons fait un calcul en 2024. Avec les Guardrails, nous supervisions à peu près 6 % des services sur AWS et sur Azure, nous n’arrivions à couvrir que 40 % du périmètre via les “policies”. C’était largement insuffisant et surtout, c’était très incohérent entre ce que l’on pourrait faire sur AWS et ce que l’on pourrait faire sur Azure. Les deux services étant par essence très différents et du coup, pas vraiment comparables ».

Damien Godard s’est donc donné pour objectif de couvrir toutes les ressources de TotalEnergies dans le cloud, mais aussi d’apporter de l’homogénéisation. Pour cela, il lui fallait trouver une solution permettant à la fois d’auditer l’exposition de toutes les ressources cloud, d’écarter le risque de mauvaise configuration ou d’erreur dans une configuration, et d’utilisation des services obsolètes.

Enfin, le responsable voulait éliminer tout risque de perte de contrôle sur la chaîne de déploiement : « nous voulons nous assurer que tout est déployé en Infra-as-Code. Sur quelques périmètres, on le fait plutôt bien avec Terraform et GitHub Actions. Sur d’autres, on en est plus loin ».

Enfin, la solution devait assurer de la protection des identités, des secrets et une bonne gestion des privilèges.

Le déploiement d’une CNAPP s’impose

Un RFP est lancé pour choisir une CNAPP (Cloud Native Application Protection Platform), avec l’idée de trouver un outil unique pour couvrir ces 4 risques principaux et disposer d’une vision homogène, quel que soit le fournisseur.

La solution Wiz – qui sera rachetée par Google en 2025 – est finalement choisie. Le déploiement est rapide sur le SSO avec Microsoft Entra, et le déploiement des rôles IAM sur Azure et AWS. De même, ajouter les déploiements consiste simplement en la création d’un petit objet dans Wiz.

Par contre, la gestion des droits sur les objets qui sont créés dans Wiz est plus complexe. Pour que ces droits correspondent exactement à ceux attendus dans le cloud, l’équipe a dû créer des scripts complexes pour faire des mappings et créer les multiples objets automatiquement dans Wiz. Et ce afin qu’ils correspondent exactement aux objets qui donnent les droits sur les landing zones Azure et AWS. Enfin, Wiz Outpost, un mode de déploiement spécifique de Wiz, garantit que toutes les données resteront dans le tenant TotalEnergies.

La phase d’onboarding a été un point clé dans le succès de ce déploiement. Les équipes devaient s’approprier l’outil pour l’utiliser au quotidien. Cette adoption est passée par la Digital Platform, le portail qui est le point d’entrée de toute l’entreprise pour accéder à des ressources cloud. Wiz est inscrit sur le portail et, outre des sessions d’onboarding tenues auprès des équipes DevOps, les utilisateurs disposent d’une documentation fournie et de vidéos accessibles à la demande. À la fin de ces vidéos, un petit quiz est sanctionné par un badge, comme c’est l’habitude à la TDF. Si 100 % de la population cible n’a pas encore suivi ce cursus (qui n’est pas obligatoire), pas moins de 700 badges ont déjà été distribués.

Un backlog de vulnérabilités qui reste maîtrisé

En pratique, l’outil gère quelques centaines de vulnérabilités par semaine. Mais la différence entre celles qui sont ouvertes et celles qui sont résolues reste faible : « nous arrivons à maintenir un backlog qui reste faible, de l’ordre de 10-20 à peu près, avec une ancienneté moyenne qui reste faible aussi. Cela veut dire qu’on arrive à traiter ces cas au fur et à mesure qu’ils arrivent et à éviter l’accumulation », estime Damien Godard.

À partir des graphes délivrés par Wiz, il est très simple pour un utilisateur de visualiser le endpoint concerné et de cliquer sur les « findings » rassemblés par l’outil pour voir la liste détaillée des problèmes et en quoi ils constituent un problème (ou « issue » dans le vocabulaire Wiz).

Un lien automatique a été créé entre ces « issues » et les SIR (Security Incident Response) de ServiceNow. Les tickets d’incident sont automatiquement créés et affectés au bon fil.

Cette intégration permet d’avoir une gestion du cycle de vie de ces incidents dans ServiceNow pour les utilisateurs moins habitués à aller sur Wiz.

Damien Godard apprécie et explique pourquoi : « quand le CERT publie un bulletin sur une vulnérabilité critique, mes collègues dans la salle doivent passer des heures à s’arracher des cheveux pour aller raccorder une CMDB avec des inventaires de filiales, avec des mails, des fichiers Excel, appeler des gens, glaner des informations. Moi, pour la même chose, je fais un copier-coller du numéro de la vulnérabilité dans Wiz et je regarde le résultat. S’il n’y a rien, c’est clôturé, c’est fini ». Sans le moindre doute un atout.