Taille: Plus de 400 employés
Industrie: Technologie
Emplacement: New York, État de New York
Client depuis : 2016
Datadog propose une plateforme de surveillance qui permet aux équipes de s'assurer que leurs applications cloud offrent la meilleure expérience utilisateur possible. Pour y parvenir, Datadog adopte également DevOps, travaillant de manière agile pour innover en permanence et proposer rapidement de nouvelles fonctionnalités et améliorations à ses clients.
Cette approche DevOps implique que les ingénieurs de Datadog effectuent des mises à jour fréquentes de l'infrastructure, ce qui peut inquiéter son équipe de sécurité si les ingénieurs ne parviennent pas à travailler en étroite collaboration avec eux. Pour éviter les problèmes de communication et garantir que les versions intègrent la sécurité, Datadog implique son équipe de sécurité lors du développement. En fait, Datadog est à l'avant-garde d'une tendance croissante appelée DevSecOps.
En août 2016, la société a adopté PagerDuty comme composant intégral de son gestion des opérations numériques. Aujourd'hui, en plus d'utiliser PagerDuty pour aider les équipes d'ingénierie à assurer la continuité des activités et la reprise après sinistre (BC/DR), Datadog utilise PagerDuty pour informer son équipe de sécurité de l'information des événements qui nécessitent une réponse immédiate.
Adopter une nouvelle approche de la sécurité à grande échelle
Datadog est une organisation agile et axée sur les opérations, qui compte des centaines d'ingénieurs répartis dans le monde entier. Dans de nombreuses organisations, les équipes de sécurité informatique sont généralement isolées du reste des équipes de développement, ce qui peut souvent retarder les versions de production en raison des processus de validation lors des révisions du code de sécurité. Mais Datadog savait que cette approche devait disparaître. « La sécurité ne fonctionnerait pas si elle était en dehors de l'organisation de développement, essayant simplement d'intervenir lorsque les choses tournent mal », explique Andrew Becherer, responsable de la sécurité chez Datadog.
Parce qu’elle considère la sécurité comme un autre aspect de la qualité, Datadog intègre ses opérations de sécurité et ses fonctions de développement dans l’ensemble de l’organisation. « Il incombe à la sécurité d’utiliser les mêmes outils, d’utiliser les mêmes méthodes et d’utiliser les mêmes types de technologies pour résoudre les problèmes rencontrés par le reste de l’organisation de développement », a expliqué Becherer.
Par extension, en matière de gestion des vulnérabilités, l'équipe de sécurité de Datadog suit les problèmes de la même manière que ses équipes de développeurs, et les alertes et réponses de sécurité suivent un flux de travail similaire à celui des autres équipes au sein de Datadog. « Il est rare que les équipes de sécurité d'autres entreprises utilisent PagerDuty dans la mesure où nous l'utilisons », a déclaré Becherer.
Validation des modifications de code sur Amazon Web Services (AWS)
Datadog est entièrement basé sur le cloud et exploite une gamme de services AWS pour exécuter du code. Avec plus de 15 comptes AWS pour tout gérer, de la préparation à la production, le suivi des modifications autorisées du code peut devenir assez complexe. Pour valider les modifications, Datadog s'appuie sur ChatOps, en intégrant Slack, Duo Security et PagerDuty. Lorsqu'un développeur apporte une modification potentiellement dangereuse à AWS, l'équipe de sécurité envoie un message Slack au développeur pour valider l'action. Le développeur confirme l'envoi du code via Slack et via l'authentification à deux facteurs de Duo. Si le développeur ne répond pas dans les délais ou ne confirme pas la modification du code, PagerDuty envoie une alerte à l'équipe de sécurité pour intensifier la réponse. Si une modification dépasse un certain seuil de risque, l'équipe de sécurité est immédiatement avertie via PagerDuty ou la logique de gestion automatisée de la configuration AWS rétablit la modification à un état de confiance.
En bref, les développeurs apportent constamment des modifications à chaque instance AWS, mais c'est à l'équipe de sécurité de déterminer si les modifications sont autorisées ou non sur des dizaines de milliards d'appels d'API par an sur AWS.
« Il incombe aux services de sécurité d’utiliser les mêmes outils, d’utiliser les mêmes méthodes et d’utiliser les mêmes types de technologies pour résoudre les problèmes rencontrés par le reste de l’organisation de développement. »
– André Becherer, Responsable de la sécurité, Datadog
Activer la sécurité et le développement agiles avec PagerDuty
Comme d'autres entreprises, l'équipe de sécurité de Datadog est très préoccupée par le temps nécessaire pour remédier aux vulnérabilités de sécurité. Plutôt que de devoir analyser les journaux d'audit pour comprendre ce qui s'est passé, Datadog connecte ses équipes de développeurs à la sécurité le plus rapidement possible. En utilisant PagerDuty, Datadog a réduit le temps global nécessaire pour résoudre ces problèmes.
PagerDuty offre également aux développeurs et aux ingénieurs une visibilité sur les incidents de sécurité afin qu'ils puissent obtenir un retour immédiat sur leurs actions si l'équipe de sécurité les juge risquées. « Les développeurs essaient de résoudre un problème et ils effectuent une modification [pour résoudre ce problème] », explique Becherer. « Vous devez fournir un retour d'information le plus rapidement possible à ce moment-là, car ils vont passer à quelque chose de complètement différent [juste après avoir effectué cette modification]. »
Par exemple, lors d'un récent incident de sécurité, PagerDuty a rapidement fait remonter un problème de sécurité survenu alors qu'un représentant commercial de Datadog se préparait à faire une démonstration. « Grâce à PagerDuty, nous avons pu mettre en relation un ingénieur de sécurité avec nos ingénieurs en quelques minutes », a raconté Becherer. « C'est du solide. C'est là que nous devons être. »