Teads mise sur une sécurité « Cloud Native »
L’Adtech basée à Montpellier vient de refondre son architecture de sécurité. Celle-ci s’appuie désormais sur les différents modules de l’offre Prisma Cloud de Palo Alto Networks, une solution qui s’intègre à 100 % à l’approche DevSecOps de l’éditeur de services.
Créé en 2012, Teads propose une plateforme médiatique qui met en relation les marques et les agences publicitaires avec des éditeurs de qualité tels que Le Monde, Les Echos, le New York Times. Initialement, Teads a bâti sa croissance sur les formats « in read », un format qui offre la possibilité aux annonceurs de diffuser un spot publicitaire au cœur même d’un article. Teads emploie plus de 1 250 personnes dans le monde et son pôle Innovation est toujours basé à Montpellier.
Aujourd’hui, le Montpelliérain mise sur une approche omnicanal allant jusqu’aux téléviseurs connectés et cultive un positionnement premium face à ses concurrents directs que sont Google, Facebook ou encore Amazon. Hébergée chez Google Cloud et Amazon Web Services, sa plateforme technique Global Media Platform gère près de 2 milliards d’événements publicitaires par mois.
Embauché il y a un an et demi en tant que responsable de la sécurité des systèmes d’information (RSSI), Oussama Benzaouia a reçu pour mission de revoir le modèle de sécurité en place afin de lui donner plus de flexibilité. « L’entreprise ne compte qu’une dizaine d’années d’existence et connaît une expansion rapide », explique le responsable. « Il fallait un modèle de sécurité plus adapté à cette croissance ».
Historiquement, l’éditeur de services s’appuyait sur des outils de sécurité dédiés, avec une solution anti-malware, une autre pour le filtrage DNS, une sonde réseau, etc. « Il s’agissait d’un héritage d’une approche on-premise. Or le cloud a su montrer qu’il permet la mise en place rapide d’infrastructures informatiques et dispose de temps de réponse très satisfaisants. Mais cela nécessite un changement de mentalité quant à la sécurisation de ces infrastructures et des applications ».
La préférence a été donnée à une offre cloud intégrée
Le responsable est parti d’une feuille blanche afin de concevoir un nouveau modèle de sécurité abandonnant les outils en place pour privilégier une approche totalement nouvelle. « Exploiter des outils de sécurité traditionnels dans le cloud représente des contraintes supplémentaires d’exploitation. L’idée directrice de mon approche était de privilégier des outils pensés pour le cloud de manière native. Nous avons étudié plusieurs solutions disponibles sur le marché et nous avons retenu Prisma Cloud ».
Oussama Benzaouia connaissait déjà cette solution d’un déploiement effectué chez Eurosport où il occupait déjà le poste de responsable de la sécurité. L’atout d’une solution intégrée telle que Prima Cloud est de disposer d’une plateforme unique couvrant de nombreux aspects de la sécurité.
« Face à une telle solution, se pose immédiatement la question de la performance de chacun de ses outils pris individuellement », souligne l’expert. « Depuis son acquisition par Palo Alto, la solution a bénéficié de nombreux rachats de technologies issues de start-up spécialisées, notamment pour la doter d’une fonction de détection/réponse adaptée aux environnements cloud, etc. L’ensemble des modules aujourd’hui disponibles dans cette offre collaient parfaitement à notre vision, l’objectif étant pour nous de franchir un nouveau palier et gagner en maturité dans la gestion de la sécurité, car l’entreprise continue de grandir à un rythme soutenu ».
Ce choix d’une solution de sécurité « Cloud Native » a été simplifié par le fait que l’infrastructure informatique de Teads est elle-même 100 % cloud. Pour sécuriser les accès, Teads fait largement appel au module IAM de Prisma, notamment pour ses capacités UEBA. Une IA établit un comportement type pour chaque utilisateur et le système génère une alerte s’il constate une déviation vis-à-vis de ce comportement. Les 250 personnes que compte le département innovation accèdent aux ressources IT selon un modèle « Zero Trust », avec une authentification à plusieurs facteurs.
DevSecOps, un impératif dans une entreprise agile
L’une des problématiques clés à gérer par l’équipe de sécurité est de faire face au rythme effréné des équipes DevOps. « Ce sont plusieurs centaines de demandes de changement qui sont générées chaque jour par les équipes DevOps et il est humainement impossible de valider manuellement chacune d’elles », explique le responsable. « Nous devions laisser plus de liberté aux utilisateurs tout en contrôlant tous les maillons critiques de la chaîne CI/CD ».
Toute l’informatique de Teads est gérée dans une approche « infrastructure as Code » dans Terraform. L’objectif d’Oussama Benzaouia a été de placer sous surveillance l’intégralité de la chaîne d’intégration continue, depuis le repository jusqu’à la plateforme d’intégration continue mise en œuvre par l’entreprise. « À chaque étape de cette chaîne, nous plaçons un composant Prisma afin de scanner le code source, scanner les dépendances, avant que tout changement ne soit poussé en production. Outre l’analyse statique des composants et des dépendances, une analyse dynamique de chaque composant logiciel est réalisée en production ». L’un des critères de sélection qui a plaidé en faveur de l’offre Palo Alto était le support des langages Scala et Go par ses outils de contrôle du code.
Chaque étape de la chaîne d’intégration remonte des alertes auprès de l’équipe de sécurité : certaines sont bloquantes, notamment lorsque le comportement du composant n’est pas autorisé sur la plateforme. L’équipe de sécurité analyse ces alertes en temps réel, interagit avec les développeurs pour chercher des solutions. « L’objectif est de ne pas bloquer l’innovation ni freiner les équipes de développement, mais de placer des points de contrôle aux endroits critiques de la chaîne d’intégration. C’est à la fois plus d’autonomie pour les développeurs, mais aussi bénéfique dans l’intérêt du travail des analystes de sécurité ». Pour l’expert, l’approche DevSecOps doit reposer sur le principe du « Shift-Left », c’est-à-dire placer la sécurité le plus à gauche possible dans le processus de développement produit. La plateforme Prisma Cloud permet d’aller dans ce sens via son outil BridgeCrew.
L’ensemble des fichiers de configuration est sous surveillance. Si un développeur ou un administrateur venait introduire une faille de sécurité, le composant est scanné avant d’être poussé en production. « Dès que la demande de changement est émise par un utilisateur, le composant est scanné et s’il va émettre un flux réseau interdit par la politique de sécurité, cela va bloquer le changement et demander une intervention manuelle pour corriger la faille ». Enfin, en bout de chaîne, le module CSM scanne la configuration cloud en temps réel.
Ainsi, lorsque la faille Log4Shell a été dévoilée publiquement, l’équipe de sécurité de Teads a rapidement pu identifier où se trouvaient les vulnérabilités dans son architecture informatique grâce à l’outil de scan. « Dès le vendredi de l’annonce, nous avons pu commencer le patching des solutions concernées. Avec une CVSS de 10 sur 10, nous savions que la faille était critique et que nous devions agir avant que celle-ci ne soit exploitée dans le week-end. Nous avons rapidement lancé le patching et dès le vendredi soir nous étions couverts à 100 % contre ce risque ».
Sauf interventions ponctuelles, la sécurité du service Teads est gérée à 100 % en interne. Les alertes issues de Prisma, du SIEM de l’entreprise et de l’anti-malware déployés sur les postes sont centralisées sur Slack. Cinq analystes traitent ces alertes en liaison directe avec les équipes DevOps pour plus d’efficacité.
Oussama Benzaouia utilise également l’EDR Prisma Defender, déployé sur les assets cloud pour renforcer la visibilité sur les échanges dans l’infrastructure et sa capacité de réponse. Toutefois, la priorité numéro 1 pour le responsable cybersécurité porte sur la certification SOC 2 de sa structure. Celle-ci va impliquer plus de changements organisationnels que techniques, « car notre architecture a déjà été pensée en ce sens ». Mais voilà, SOC 2 impacte aussi l’organisation de l’entreprise elle-même, et « nous devons nous assurer que les risques de sécurité sont remontés et traités au niveau adéquat », conclut le responsable.