+

Comment Vector Technology Solutions audite ses licences 75 % plus rapidement grâce à GitLab

  • Migration fluide depuis GitHub
  • Sécurité renforcée
  • Diminution des frais
Comment Vector Technology Solutions audite ses licences 75 % plus rapidement grâce à GitLab
SecteurÉnergie et services publics
EmployésPlus de 50
EmplacementAuckland, Nouvelle-Zélande

Vous souhaitez découvrir ce que GitLab Ultimate peut offrir à votre équipe ?

Commencer votre essai gratuit

Création de plateformes dédiées aux services publics réglementés

Vector Technology Solutions (VTS) est une filiale de Vector Group, le plus grand distributeur d'électricité et de gaz de Nouvelle-Zélande. VTS développe une plateforme de gestion des données énergétiques à très grande échelle destinée aux fournisseurs de compteurs de Nouvelle-Zélande et d'Australie, qui traite en temps réel les données issues des compteurs intelligents au profit des services publics et fournisseurs d'énergie. VTS dispose d'une équipe composée d'environ 50 ingénieurs dans un modèle DevOps, qui gère l'ensemble du cycle de vie, de la définition des exigences à l'assistance pour les environnements de production. Pour répondre aux obligations de conformité imposées par les frameworks (ISO 27001, SOC 2), VTS avait besoin d'un niveau de visibilité et de contrôle que ses outils existants parvenaient difficilement à lui offrir.

« Dans ce secteur réglementé, nous devons toujours prévoir un plan pour faire face au pire scénario. Et c'est ce que nous offre l'auto-hébergement de GitLab. Il nous permet de contrôler étroitement l'accès au réseau. »

- Jacques Buitendag, Head of Technology, Vector Technology Solutions
Des lacunes en matière de gouvernance en raison de la fragmentation de la chaîne d'outils

VTS utilisait GitHub comme plateforme principale pour la gestion du code source, mais s'appuyait également sur un ensemble hétéroclite de six outils tiers allant de la gestion du code source, de la qualité du code, de l'analyse des vulnérabilités, des pipelines CI/CD à la gestion des licences. La qualité du code nécessitait l'utilisation de SonarQube. L'analyse des vulnérabilités nécessitait des outils distincts. Les pipelines CI/CD nécessitaient un autre service externe. Cette configuration fragmentée faisait augmenter les coûts et accentuait les risques de dérive de configuration entre les différents dépôts. « Je dirais que cette configuration est lourde, fastidieuse et propice à l'apparition de lacunes cachées », explique Jacques Buitendag, Head of Technology. « Les équipes se tournaient vers GitHub, mais GitHub n'a jamais eu pour ambition d'être une solution tout-en-un. Pour la qualité du code, nous devions recourir à un autre outil, tel que SonarQube. Pour l'analyse des vulnérabilités, nous avions besoin d'outils tels que OWASP Dependency-Check. GitHub privilégiant les dépôts, des dérives de configuration sont alors apparues dans nos pipelines. » Les exigences en matière de gouvernance imposaient des réponses claires : disposons-nous des processus adéquats ? Les mettons-nous en œuvre de manière cohérente ? Pouvons-nous le prouver ? Les outils étant dispersés entre différents fournisseurs, le regroupement des rapports d'audit nécessitait plusieurs jours. Ce problème a été identifié lors d'un audit de conformité des licences logicielles. Chaque année, VTS vérifiait manuellement chaque projet, en extrayait les dépendances, consolidait les doublons et les comparait aux données des années précédentes. Ce processus nécessitait deux journées entières de travail pour les ingénieurs. Le même problème se posait pour la visibilité en matière de sécurité. VTS effectuait des analyses au niveau des dépôts, sans aucun examen à l'échelle de l'entreprise ; les vulnérabilités étaient donc détectées tardivement, une fois que les équipes s'étaient engagées à respecter les différents jalons fixés par les clients, rendant alors difficile l'évaluation des risques et la décision d'accepter ou de corriger ces vulnérabilités.

Une plateforme auto-hébergée pour le contrôle de la gouvernance

VTS a choisi GitLab Ultimate avec un déploiement auto-hébergé pour trois raisons : des capacités de gouvernance consolidées, un contrôle de son infrastructure et une expérience développeur fluide. GitLab a permis à VTS de bénéficier d'une vue d'ensemble unifiée sur l'ensemble de ses projets, en consolidant la gestion des vulnérabilités, la conformité des licences logicielles et le scan de sécurité. Les équipes ont ainsi pu disposer d'une piste d'audit claire et sans devoir intégrer différents outils ni regrouper manuellement des données d'audit. Le modèle auto-hébergé s'est également révélé essentiel. VTS devait se préparer aux pires scénarios. En utilisant GitLab sur l'infrastructure de VTS, l'équipe a pu isoler les systèmes, interrompre les communications réseau et établir des limites claires pour les clients lors d'un incident de sécurité. « Dans ce secteur réglementé, nous devons toujours prévoir un plan pour faire face au pire scénario. Et c'est ce que nous offre l'auto-hébergement de GitLab. L'auto-hébergement de GitLab nous permet de contrôler étroitement l'accès au réseau », a expliqué Jacques Buitendag.

Une migration de trois mois avec une transition fluide

VTS a terminé sa migration en trois mois : mise en place de l'infrastructure, configuration des sauvegardes et migration de l'ensemble des dépôts et pipelines. D'un point de vue technique, cette transition est volontairement passée inaperçue. GitLab a assuré la parité des fonctionnalités avec GitHub et le workflow de base est resté inchangé : mêmes branches, mêmes merge requests, même processus de révision. Les équipes n'ont pas eu besoin de suivre une nouvelle formation. « La migration s'est parfaitement déroulée », a précisé Karen Ip, Head of Engineering. « Nous avons bénéficié d'une assistance exceptionnelle de la part de l'équipe GitLab, qui a aidé notre équipe technique à configurer l'infrastructure en toute confiance. »

Les progrès en matière de gouvernance se traduisent par une confiance dans les livraisons

Les avantages en matière de gouvernance ne se sont pas fait attendre. Auparavant dispersés, les scans de sécurité (SAST, DAST, analyse des conteneurs, analyse des dépendances, détection des secrets) ont été consolidés dans les fonctionnalités natives de GitLab. L'audit de conformité des licences logicielles a permis de mettre en évidence ce gain d'efficacité. Ce qui nécessitait auparavant deux journées entières ne prend désormais qu'une demi-journée. Jacques Buitendag s'est rendu sur la vue « Dépendances » de GitLab, a téléchargé la liste consolidée et identifié les changements par rapport à l'année précédente. « J'ai littéralement transformé un processus de plusieurs jours en une réponse au bout d'une demi-journée », explique-t-il. « Non seulement le processus était plus rapide, mais la précision et la visibilité étaient aussi nettement meilleures. » La sécurité s'est considérablement améliorée. Désormais, les vulnérabilités apparaissent directement dans les merge requests, permettant ainsi aux équipes d'évaluer leur impact avant le merge du code. Plutôt que de découvrir des problèmes après s'être engagées à respecter les livrables des clients, les équipes peuvent directement évaluer les risques et prendre des décisions éclairées quant aux mesures correctives à appliquer. « Contrôler la sécurité en amont et avoir une bonne visibilité dès le départ est un avantage considérable », a révélé Karen Ip. « Lorsqu'une vulnérabilité est signalée, nous pouvons examiner la chaîne de dépendances transitives et nous poser la question suivante : se trouve-t-elle dans une dépendance que nous utilisons réellement ? Sinon, nous pouvons envisager la solution la plus appropriée en fonction de la nature de la vulnérabilité ; par exemple : la supprimer ou la corriger dès la mise à disposition d'un correctif et à condition que le niveau de risque soit faible et son impact moindre. » L'impact sur l'activité s'est traduit par une confiance accrue dans les livraisons. Les ingénieurs pouvaient s'engager à respecter les délais fixés par les clients, en sachant que les problèmes de sécurité apparaîtraient en phase de développement plutôt qu'après la livraison. Les audits de licences, qui nécessitaient auparavant deux journées complètes de travail, ne durent désormais qu'une demi-journée, permettant ainsi de réduire les frais de gouvernance au sein de l'équipe d'ingénierie. La direction a pu bénéficier de la visibilité dont elle avait besoin en matière d'audit. Au lieu d'utiliser plusieurs outils différents, elle pouvait générer des rapports complets directement depuis GitLab, présentant les projets, les licences, les vulnérabilités et le contrôle d'accès.

Positionnement en vue de l'expansion sur les marchés réglementés

Grâce à ses capacités de gouvernance et à son modèle de déploiement auto-hébergé, VTS peut se positionner sur le marché américain en répondant aux exigences des services publics américains en matière de cybersécurité, notamment en fournissant une documentation complète relative aux contrôles de sécurité, de gestion des incidents et de gouvernance des données. Grâce à la consolidation du contrôle de la gouvernance et des infrastructures de GitLab, VTS peut pleinement se consacrer à mettre en avant la posture de sécurité requise pour les marchés réglementés. Lorsque des clients potentiels posent des questions sur la planification des pires scénarios ou les capacités d'isolation des données, l'équipe peut mettre en avant et citer les fonctionnalités de GitLab dans ses réponses, notamment sa capacité à isoler physiquement les systèmes, à interrompre les communications réseau et à maintenir des limites de sécurité claires. Pour une équipe d'ingénieurs chargée d'élaborer des infrastructures critiques dans le secteur de l'énergie, le but de la consolidation n'était pas seulement de réaliser des économies, mais aussi de réduire les frais, d'améliorer la visibilité en matière de gouvernance et de permettre à l'équipe de se consacrer pleinement au développement de capacités innovantes de gestion de l'énergie plutôt qu'à la gestion d'un ensemble d'outils disparates. Cette préparation à la mise sur le marché est indispensable, car VTS continue son développement au-delà des frontières de la Nouvelle-Zélande et de l'Australie pour saisir les opportunités offertes par le secteur des services publics aux États-Unis.

Optimisation des capacités de la plateforme

Pour VTS, la migration initiale correspond à la première phase. L'équipe prévoit d'utiliser GitLab pour créer automatiquement des environnements temporaires, exécuter des suites de tests complètes et valider des modifications avant leur merge, ce qui générera des alertes automatiques en cas d'anomalie. VTS prévoit que la deuxième phase de la migration permettra de réduire de moitié le délai de build grâce à la flexibilité de configuration de GitLab dans l'ensemble de son architecture de pipelines. « Nous nous renseignons sur la manière dont GitLab peut nous aider à améliorer et à optimiser davantage notre cycle de développement logiciel », a révélé Karen Ip. « GitLab permet d'automatiser les processus, de réaliser des tests dans des environnements temporaires et de valider des modifications avant de les réintégrer dans la branche principale. Ces étapes sont très importantes pour nous. »

Toutes les informations et personnes mentionnées dans cette étude de cas sont exactes à la date de publication.