Un leader des services financiers renforce la sécurité et l’efficacité de son développement logiciel avec JFrog

7mio
Nombre de clients
de 150K $
Économies annuelles
20%
Réduction du temps consacré à la correction de vulnérabilités 
Sécurité intégrée à chaque étape du cycle de développement Système d’enregistrement unique pour des versions logicielles sécurisées et automatisées Audit et traçabilité de bout en bout des artefacts logiciels

 

L’entreprise se trouvait à un tournant de son cycle de développement logiciel, confrontée à des inefficacités, à des failles de sécurité et aux défis liés à la gestion d’un ensemble d’outils fragmenté. Il leur fallait une solution capable de moderniser leurs processus, d’optimiser les coûts et d’accroître la productivité des développeurs. Afin de répondre à ces besoins, cette équipe a choisi la plateforme de chaîne d’approvisionnement logicielle de JFrog, incluant JFrog Advanced Security et JFrog Curation. Les résultats : des workflows rationalisés, une meilleure gestion des risques et une posture de sécurité renforcée.

 

L’ENTREPRISE

Fondée en 1993, cette société de services financiers de premier plan est devenue l’une des marques d’assurance les plus connues du Royaume-Uni, servant plus de 7 millions de clients dans le cadre de ses différentes offres, notamment l’assurance automobile, l’assurance habitation et les prêts personnels.

Connue pour son approche innovante, la société a été l’un des pionniers du modèle d’assurance multivoitures. Ce modèle permet aux familles d’assurer plusieurs véhicules sous une police unique, alliant simplicité et optimisation des coûts. La société s’engage à promouvoir une culture d’entreprise forte, en mettant l’accent sur le bien-être des employés, l’inclusion et la durabilité.

LE DÉFI

Confrontée à des coûts croissants et à des outils obsolètes, l’entreprise cherchait une solution de transformation pour moderniser son cycle de développement logiciel. Son ancienne architecture, basée sur la juxtaposition d’outils disparates, nécessitait une maintenance coûteuse et manquait de l’agilité et de la sécurité nécessaires pour prendre en charge les pratiques de développement modernes. Les lacunes critiques comprenaient :

  • Fonctionnalité limitée : les anciens outils ne prenaient pas en charge les pipelines modernes ou les technologies plus récentes, telles que Java 17.
  • Prolifération des outils : les multiples solutions ponctuelles utilisées pour la gestion des fichiers binaires avaient augmenté tant la complexité que les coûts.
  • Risques pour la sécurité : les vulnérabilités n’avaient pas été corrigées en raison de l’inefficacité des outils et du manque de capacités de neutralisation.

Confrontée à un paysage de plus en plus complexe et concurrentiel, l’entreprise a cherché à adopter des pratiques DevSecOps modernes pour optimiser les workflows, améliorer la sécurité des produits et maintenir sa position de leader. La clé de cette transformation était d’identifier une boîte à outils complète, à même de répondre à l’évolution de leurs besoins.

LA SOLUTION

Après un processus d’évaluation approfondi, plusieurs atouts majeurs ont permis à JFrog de tirer son épingle du jeu, notamment :

  • Intégration transparente de l’analyse de la composition logicielle (SCA) et de la gestion des binaires ;
  • Prise en charge de Terraform) et intégration robuste de l’IDE, permettant aux ingénieurs de corriger les vulnérabilités avant de publier leur code ;
  • Une plateforme unique permettant de consolider plusieurs outils, afin de réduire les coûts opérationnels et d’améliorer la productivité.

La plateforme JFrog forte de ses offres Advanced Security et Curation, est une solution de bout en bout qui non seulement répond à ces défis, mais offre également une valeur inégalée ; le tout permettant une consolidation transparente des outils, une sécurité renforcée et une efficacité à l’échelle.

Voici comment l’équipe utilise la plateforme JFrog :

  • JFrog Artifactory : JFrog Artifactory est utilisé comme gestionnaire de dépôts centralisé pour stocker et gérer les artefacts de build tout au long de leur SDLC. Il s’intègre à leur pipeline CI/CD, permettant un stockage, une gestion des versions et une distribution efficaces des composants logiciels. Artifactory prend en charge plusieurs technologies et permet de réduire les délais de build tout en améliorant la collaboration entre les équipes d’ingénieurs.
  • JFrog Xray : l’équipe utilise JFrog Xray pour les scans de sécurité de ses artefacts. Xray détecte les vulnérabilités et les problèmes de conformité dans les dépendances, en s’intégrant dans le pipeline CI/CD pour détecter rapidement les failles de sécurité. Il analyse également les composants non-Java comme Python, comblant ainsi les lacunes de l’ancien ensemble d’outils de l’équipe et améliorant la visibilité globale de la sécurité.
  • JFrog Advanced Security : : l’équipe s’appuie sur JFrog Advanced Security pour l’analyse approfondie des vulnérabilités et la gestion des risques. Advanced Security détecte et bloque les secrets codés en dur et fournit une analyse contextuelle pour hiérarchiser les risques. Intégrées dès le début du cycle de développement durable, ses fonctionnalités SAST garantissent que la sécurité est prise en compte avant que le code n’atteigne la production, améliorant ainsi la posture de sécurité globale.
« JFrog Advanced Security a révélé des problèmes hérités dont nous ne soupçonnions même pas l’existence, comme les secrets codés en dur, améliorant du jour au lendemain notre position en matière de risques. »

– Société de services financiers de premier plan

 

  • JFrog Curation :JFrog Curation aide l’équipe à bloquer automatiquement et de manière proactive les packages malveillants ainsi que ceux qui ne respectent pas la politique de sécurité, avant qu’ils ne soient importés par les développeurs. La solution fournit un journal d’audit détaillé indiquant quels éléments sont introduits dans la software supply chain et par qui.

 

 

La plateforme JFrog sert de source unique de vérité, offrant une traçabilité et une visibilité totales des artefacts, améliorant la sécurité en détectant des problèmes tels que les divergences de version et en appliquant des pratiques de déploiement cohérentes.

« Bloquer les packages malveillants dès le premier jour avec JFrog Curation a changé la donne, en garantissant que seuls les composants les plus sûrs intègrent nos pipelines. »

 

LES RÉSULTATS

Le parcours de l’équipe avec JFrog met en évidence le pouvoir de transformation des pratiques DevSecOps modernes. En adoptant la plateforme JFrog avec Advanced Security et Curation, elle a non seulement relevé des défis immédiats, mais elle s’est également positionnée pour un succès à long terme dans un paysage technologique en constante évolution. En outre, grâce aux experts de JFrog Professional Services, l’équipe a été en mesure d’adopter le système en deux mois.

Les principaux avantages sont les suivants :

  • Renforcement de la posture de sécurité : grâce à des politiques de blocage en temps réel, l’équipe peut identifier et atténuer les vulnérabilités dès leur apparition, garantissant une protection proactive et une visibilité nettement améliorée. Avec JFrog, la sécurité est désormais intégrée de manière transparente à chaque étape du développement, offrant une traçabilité de bout en bout et permettant à l’équipe de maintenir un référentiel de sécurité solide.
  • Efficacité accrue : la plateforme JFrog a contribué à rationaliser les opérations de développement, en permettant des mises à jour plus rapides grâce à la configuration centralisée de Terraform. La solution de JFrog, basée sur le cloud, a permis de réduire les coûts de maintenance et d’assurer l’évolutivité. Grâce aux contrôles de sécurité centralisés et au blocage automatisé des packages malveillants, les ingénieurs suivent désormais de meilleurs processus pour gérer les dépendances, ce qui réduit les risques.
  • Amélioration de la conformité et de la gestion des risques : la plateforme JFrog fournit à l’équipe une source unique de vérité pour des versions logicielles sécurisées et automatisées, minimisant les risques et garantissant une conformité totale avec les normes réglementaires. Cela a renforcé la capacité de l’équipe à fournir à ses clients des logiciels fiables et de haute qualité. Grâce à l’enregistrement de preuves signées pour chaque action réalisée sur des releases immuables, l’entreprise dispose désormais d’un journal d’audit robuste assurant la traçabilité et la conformité.
« La visibilité et le contrôle que nous avons acquis avec JFrog ont révolutionné la façon dont nous gérons les dépendances de tiers, ce qui a conduit à un écosystème plus sûr et plus conforme. »

 

  • Une source unique de vérité : la plateforme JFrog est devenue le système d’enregistrement unique pour toutes les versions de logiciels, ce qui garantit que seuls les packages testés et vérifiés sont déployés. Cette uniformité élimine les problèmes liés au déploiement involontaire de versions différentes en production, renforçant ainsi l’intégrité des mises en production.

 

 

« Avec JFrog, nous avons regroupé plusieurs outils en une seule plateforme puissante, ce qui nous a permis d’économiser beaucoup de temps et de ressources tout en permettant à nos ingénieurs de se concentrer sur l’innovation. »

 

  • Évolutivité et délai de mise sur le marché : en consolidant ses outils et en automatisant de nombreux processus manuels, l’équipe de développement a amélioré ses délais de mise sur le marché, garantissant ainsi une fourniture plus rapide et plus sûre de ses services aux clients.

 

 

« La flexibilité et l’efficacité obtenues grâce à JFrog ont transformé notre processus de développement, en réduisant les coûts et en accélérant les délais de livraison. »

 

  • Distribution sécurisée entre environnements : JFrog Distribution a permis de surmonter les contraintes réseau tout en garantissant la cohérence et la sécurité tout au long du cycle de développement, grâce au déploiement sécurisé des artefacts vers différents environnements.

 

 

La plateforme de chaîne d’approvisionnement logicielle de JFrog

Professionnels des services financiers, réservez une démo individuelle pour voir comment la plateforme JFrog révolutionne le DevOps et la sécurité à l’échelle de votre organisation.


Produits
La plateforme JFrog,, JFrog Artifactory, JFrog Xray, JFrog Advanced Security, JFrog Curation

Partenaire
Google Cloud

Ressources complémentaires
White Paper :   Le guide de référence pour la sécurisation de la chaîne d’approvisionnement logicielle
Solution Sheet:  La plateforme de chaîne d’approvisionnement logicielle de JFrog
Page: Distribution logicielle de confiance pour les chaînes d’approvisionnement logicielles des services financiers

Release Fast Or Die