Avec plus de 17 000 employés et une présence dans plus de 140 pays, Hapag-Lloyd s'appuie sur sa plateforme critique, le système d'information sur le fret (FIS), pour soutenir les opérations de transport maritime et fonctionner de manière fiable à l'échelle mondiale.

Développé en interne au début des années 1990, FIS a été le premier système de l'industrie du transport maritime à unifier tous les processus commerciaux. Alors que Hapag-Lloyd modernisait FIS en passant d'un mainframe monolithique à une architecture de services basée sur le cloud, la sécurité et la résilience de la plateforme sont devenues encore plus critiques.

Le défi

Au fur et à mesure de l'évolution de la plateforme FIS, l'équipe FIS Cloud Platform - responsable de la plateforme de développement interne desservant les équipes de développeurs d'applications de Hapag-Lloyd et soutenant la transformation de FIS - a été confrontée à une pression croissante pour sécuriser sa chaîne d'approvisionnement en logiciels open source.

L'équipe fonctionnait déjà avec des pratiques d'ingénierie disciplinées, traitant tout comme du code et automatisant la livraison par le biais de pipelines CI/CD. Cependant, la gestion des vulnérabilités dans les images de conteneurs open source est devenue de plus en plus difficile à l'échelle. La plateforme utilisait de nombreuses images open source avec un nombre élevé de CVE, bien plus que ce que l'équipe avait la capacité de corriger et de maintenir en interne.

Pascal Nijhof, Senior Manager, Cloud Platform & DevOps, explique : "La correction des CVE est un fardeau sans fin. Suivre de nombreuses images avec des résultats divers, comprendre les vecteurs d'attaque et trouver comment les corriger est un travail à plein temps."

Ce défi a été amplifié par l'introduction de rapports de sécurité centralisés. Les mesures CVE sont devenues visibles au niveau de la direction, et l'élimination des vulnérabilités critiques et de haute sévérité est devenue une attente explicite. L'équipe a rapidement réalisé que les approches existantes ne seraient pas suffisantes.

Comme l'explique Johannes Witte, Team Lead IT, FIS Cloud Platform, "Même si nous avions les bonnes compétences dans notre équipe, avec 15 ingénieurs, nous ne serions pas en mesure de faire le travail de plateforme réel qui est exigé de nous dans l'équipe FIS Cloud Platform."

La solution

Après avoir évalué ses options, l'équipe d'Hapag-Lloyd a vu comment Chainguard Containers pouvait avoir un impact immédiat.

L'adoption a été rapide. Après une preuve de valeur en quatre images, l'équipe a échangé 25 images open source contre des Chainguard Containers et les a livrés à la production en un sprint de deux semaines.

Hapag-Lloyd a complété son déploiement de Chainguard en combinant Chainguard avec un protocole "Update Champion" - deux personnes dédiées par sprint pour les mises à jour et les dépendances - renforçant ainsi son approche des opérations sécurisées de la plateforme.

Les résultats

Amélioration de la sécurité sans perturbation du flux de travail

L'adoption de Chainguard Containers a amélioré la posture de sécurité de Hapag-Lloyd sans perturber la façon dont l'équipe FIS Cloud Platform travaillait. L'équipe est restée concentrée sur l'habilitation des développeurs internes et l'avancement de la modernisation de la FIS, tandis que Chainguard a pris en charge le travail continu de maintien de la sécurité et de la mise à jour des images de base.

Chainguard a également introduit un niveau de standardisation qui a simplifié les opérations à travers la plateforme. Pascal a partagé :

L'utilisation d'images minimales sans shells a renforcé les meilleures pratiques de sécurité existantes de Hapag-Lloyd, y compris la prise en charge des systèmes de fichiers racine en lecture seule, ainsi que des audits et des tests de pénétration plus fluides.

Diminution des CVE et de la charge cognitive des ingénieurs

Avec Chainguard et des pratiques internes actualisées en place, l'équipe FIS Platform a constaté une amélioration immédiate et mesurable de sa posture de sécurité, et la direction l'a également constaté.

"Nous utilisons environ 60 images de conteneurs Chainguard, mais lorsque nous regardons les résultats de nos analyses, des centaines de CVE à tous les niveaux de gravité ont disparu", a déclaré Johannes.

La réduction de la charge opérationnelle et cognitive des ingénieurs a eu un impact tout aussi important. Au lieu de suivre, de hiérarchiser et de remédier manuellement aux vulnérabilités, l'équipe s'est concentrée sur une question beaucoup plus simple : la manière dont elle souhaitait exploiter ses ressources élargies.

Gains d'efficacité sans effectifs supplémentaires

Pendant les périodes de pointe, l'équipe a déployé des centaines de mises à jour de sécurité par semaine sans effectifs supplémentaires ni interruption. En éliminant la nécessité de recruter du personnel ou de gérer une fonction de remédiation interne dédiée, l'équipe chargée de la plateforme a préservé sa capacité à livrer, à faire évoluer et à prendre en charge des centaines de développeurs d'applications créant des modules commerciaux autonomes.

Rehausser le niveau de sécurité de base dans l'ensemble de l'organisation

L'amélioration de la posture de sécurité a également modifié les perceptions internes au sein de Hapag-Lloyd. La direction a commencé à considérer l'équipe FIS Cloud Platform comme un modèle de sécurité et de remédiation efficaces, tandis que les équipes d'application ont acquis une plus grande confiance dans la sécurité de la plateforme sur laquelle elles s'appuient.

"Avec les solutions que nous avons trouvées, Chainguard et notre processus Update Champions sont considérés par la direction comme les meilleures pratiques en matière de sécurité et de remédiation ", a déclaré Johannes, notant que ces progrès ont été réalisés avec beaucoup moins d'efforts que les approches alternatives.

Au fil du temps, le succès de l'initiative s'est étendu au-delà de sa portée initiale. L'équipe FIS Platform a lancé un service miroir pour mettre toutes ses images de conteneurs Chainguard à la disposition de tous les groupes informatiques de Hapag-Lloyd, y compris les équipes extérieures à FIS. Ce qui avait commencé comme une solution ciblée a évolué vers un service à l'échelle de l'entreprise, renforçant la sécurité comme une base partagée plutôt qu'une préoccupation localisée.

L'ensemble de ces résultats a permis à Hapag-Lloyd de renforcer son dispositif de sécurité open source sans sacrifier la rapidité, la concentration ou la capacité d'ingénierie.