La plateforme de VTC Heetch exploite la solution d’Offensive Security-as-a-Service Patrowl depuis avril 2022 et surveille l’ensemble de ses actifs exposés sur Internet avec acuité. Heetch a pu ainsi corriger rapidement des vulnérabilités qui n’auraient pu être détectées autrement.
Heetch, la mobilité accessible et responsable dans le monde entier
Créée en 2013, Heetch est une plateforme de VTC depuis 2017 et dispose du statut d’entreprise à mission depuis 2022 en France. La plateforme a pour ambition de rendre la mobilité plus accessible aux publics qui en sont généralement exclus, mais également de participer à la responsabilisation du secteur au profit de meilleures conditions de travail et d’une meilleure rentabilité des chauffeurs. Transparente et engagée auprès des travailleurs, Heetch a notamment obtenu la première place du classement des plateformes de VTC initié en 2021 par l’ancien secrétaire d’État au numérique, Mounir Mahjoubi.
Présente dans une dizaine de pays, en Europe comme sur le continent africain où elle est leader de son marché, Heetch totalise plus de 50 millions de trajets effectués, pour plus d’1 million de passagers actifs, et compte 300 collaborateurs tous pays confondus, dont environ 90 ingénieurs IT.
Full cloud dès les origines, Heetch héberge son infrastructure chez AWS. Malgré le soin apporté à la surveillance de l’infrastructure, la croissance très rapide de l’entreprise a provoqué en quelques années le développement d’un legacy difficile à maîtriser, face auquel des mesures visant à plus de standardisation (depuis les développements jusqu’aux choix d’infrastructure) sont prises.
Accélérer et renforcer la surveillance des vulnérabilités sans freiner l’activité
Cette mission de standardisation conduit l’entreprise à interroger plus encore les problématiques de sécurité de la plateforme. Dans son processus d’intégration continue, Heetch effectue des tests de sécurité à chaque déploiement et avant chaque mise en production. Elle effectue également une surveillance continue des vulnérabilités liées à l’utilisation de librairies open source et dispose d’un framework pour les remédier et forme ses développeurs au risque cyber.
Traditionnellement, Heetch réalisait un pentest annuel, dont les résultats pouvaient faire remonter quelques situations, des vulnérabilités constatées à la fois sur l’infrastructure et le logiciel.
« Il manquait des processus de vérification de sécurité dans notre chaîne d’intégration. Or, dans un fonctionnement d’amélioration continue de la plateforme, nos développeurs produisent du code au quotidien, ce qui introduit un risque journalier » explique l’ingénieur sécurité en charge de la standardisation des process. À charge pour ce dernier de trouver la solution de détection adaptée à ce rythme de production. « Sécuriser oui, mais sans interrompre l’activité ou la complexifier. Or il n’est jamais évident de trouver le bon compromis » explique-t-il.
L’équipe sécurité fait le choix de porter son attention sur l’extrême fin du pipeline de production, qui présente l’avantage d’offrir des résultats et une mise en œuvre rapides : la surveillance n’impacte pas les équipes de développement et peut être facilement externalisée, une fois le nouveau service déployé. « Même si commencer par la fin n’est pas toujours la meilleure stratégie, c’est à la fois plus réaliste d’un point de vue opérationnel et plus facile à mettre en place », soulignent les membres de l’équipe sécurité.
Le choix de Patrowl
Puisque Patrowl explore précisément l’ensemble des actifs numériques publics d’une entreprise, le choix de sa solution s’impose assez naturellement. « Nous avons aussi étudié une solution américaine relativement équivalente, mais nous avons préféré le suivi mensuel que nous proposait Patrowl. Il nous paraissait également plus évident de construire une relation dans le temps avec des ingénieurs français ».
Contactée au début de l’année 2022, Patrowl réalise pour Heetch un PoC sur 5 assets spécifiques pendant un mois. Sur ces 5 domaines, les rapports remontent deux faibles vulnérabilités. Un résultat auquel l’équipe Heetch s’attendait, l’exercice visant surtout à rassurer et conforter le travail réalisé. « Nous étions convaincus de l’utilité quotidienne de Patrowl pour le reste de nos assets publics » confirment les ingénieurs.
La preuve Patrowl au quotidien
Heetch profite alors de la future implémentation de Patrowl pour se séparer de plusieurs actifs superflus, afin de restreindre le périmètre d’analyse, bien que l’opération soit facultative. Elle fournit ensuite aux ingénieurs de Patrowl une liste de domaines à surveiller. Deux jours après, la solution est opérationnelle et analyse l’ensemble des assets publics de Heetch, tous pays d’exploitation confondus.
Heetch et son équipe sécurité peuvent maintenant remonter la chaîne de développement et focaliser leurs efforts sur les points les plus urgents. « Patrowl oriente très efficacement nos ressources vers ce qui l’exige, maintenance, remédiation, mises à jour, etc. ».
Ainsi les équipes sont alertées rapidement d’éventuelles failles, qui, bien que ne présentant pas forcément de sensibilité forte, peuvent être à l’origine d’élévations de privilèges intempestives. « Nous ne nous serions jamais rendu compte de certaines erreurs de configuration sans Patrowl. ».
La force de Patrowl repose sur l’étendue de son périmètre de surveillance, alors qu’un pentest traditionnel exclura généralement les outils de production au profit du produit.
« Depuis que nous l’utilisons, Patrowl donne des résultats très pertinents. L’automatisation de la surveillance est vraiment appréciée des équipes ». Particulièrement intéressée par l’évaluation de la qualité du code à travers le prisme Patrowl, l’équipe de développement se renseigne de plus en plus souvent sur les résultats, lorsqu’elle détecte, à partir des logs, le scan de leurs productions.
Beaucoup d’autres atouts chez Patrowl
Les ingénieurs sécurité de Heetch exploitent en outre la fenêtre dédiée aux recommandations, qui donne une vue globale des actions à réaliser sans rediriger nécessairement vers le détail des vulnérabilités détectées.
« Patrowl est très versatile. La solution nous offre la possibilité d’aborder un actif en particulier et d’étudier les vulnérabilités qui le concernent, mais aussi d’amorcer la recherche par une vulnérabilité et remonter aux assets impliqués ou aux recommandations ».
Ces accès diversifiés sont importants pour l’équipe sécurité, qui n’adoptera pas la même approche selon ses interlocuteurs. Ainsi, les responsables infrastructure s’intéresseront plus volontiers aux actifs vulnérables, les développeurs, aux solutions de remédiation.
Les entreprises clientes de Patrowl participent en outre à l’amélioration continue de la solution : « Patrowl est d’ores et déjà aussi efficace que simple à exploiter. Tous les deux mois, nous échangeons sur les résultats et les mesures prises. Quant à nos suggestions, celles-ci portent principalement sur des améliorations de confort, mais qui ont leur utilité, comme l’intégration du SSO de l’entreprise ou encore de notre outil de ticketing » conclut l’expert sécurité de Heetch.