L’AZIENDA

Leroy Merlin è un’azienda francese, fondata nel 1923 a Noeux-les-Mines, che opera nel settore della grande distribuzione, dell’edilizia, bricolage e fai-da-te, decora­zioni, giardinaggio e arredo bagno. Con sede principale a Lilla, è presente con 456 punti vendita in 12 Stati del mondo, in particolare nell’Unione europea, soprattutto in Francia, Spagna e Italia.  L’azienda è parte della galassia del Gruppo ADEO, primo attore francese e terzo mondiale nel mercato interna­zionale del bricolage e del fai-da-te, con al suo interno altri importanti marchi quali Aki, Bricocenter, Bricoman, Dompro e Weldom. Leroy Merlin è uno dei leader nel suo settore, con un fatturato consolidato di oltre 1,5 miliardi di euro.  

LA STRATEGIA DI CYBERSECURITY  

A livello globale, la strategia di cybersecurity del Gruppo ADEO è indirizzata dalle linee guida dei cinque CISO delle principali business unit, focalizzate sulla definizione delle aree di sviluppo e sulla formazione del personale.  In Italia, Leroy Merlin promuove e contribuisce in modo proattivo alla definizione delle linee guida del Gruppo seguendo una precisa Security Strategy inserita in un piano triennale e focalizzata su cinque diverse aree:  

• Security Governance;
• Security Operations;
• Security Incident Management;
• Resilienza e continuità;
• Security Awareness.

In ogni Business Unit è presente un team ad hoc, che vede al centro la figura di un esperto sulle tematiche di cyber­security, coadiuvato da un team che può essere composto da personale interno o da consulenti esterni in base alla tipologia di expertise e di attività da realizzare.  

L’ESIGENZA  

L’azienda sviluppa internamente codice per applicazioni a supporto del business aziendale ed è sempre più sensi­bile al panorama delle minacce di sicurezza emergenti. L’organizzazione sta inoltre migrando sempre più verso ambienti Cloud, con la conseguente necessità di garanti­re la sicurezza degli applicativi fin dalla fase di sviluppo degli stessi.  

IL PROGETTO IMPLEMENTATO  

Per rispondere alle esigenze, Leroy Merlin ha avviato un progetto pilota insieme a CAST, finalizzato all’introduzio­ne di una soluzione di analisi statica del codice dei diversi applicativi e che coinvolge diverse componenti aziendali, dalla più tecnologica alla più organizzativa.  Riguardo la componente più tecnologica e l’adozione di una strategia Cloud-Only, la collaborazione con il vendor sta portando all’integrazione di controlli di sicurezza au­tomatici all’interno della pipeline DevOps, con l’obiettivo di evolverla verso il DevSecOps.  Dal punto di vista del team aziendale, invece, Leroy Merlin si pone l’obiettivo di modificare gradualmente le attività delle sue risorse, precedentemente focalizzate su pene­tration test e vulnerability assessment effettuati dopo la distribuzione degli applicativi, verso attività di verifica della qualità del codice svolte direttamente durante la fase di progettazione, secondo standard di security-by-design. All’interno dell’organizzazione sta aumentando sempre più la consapevolezza rispetto alla centralità della gestione della security, avendo avuto evidenza di come il codice degli applicativi si ripercuota sul business delle altre realtà aziendali nelle diverse parti del mondo.  

I BENEFICI  

I benefici del progetto sono risultati evidenti. Gli indica­tori relativi alle vulnerabilità del codice hanno segnalato un effettivo miglioramento e la soluzione ha permesso di focalizzare l’attenzione sulla qualità del codice stesso e di iniziare ad approcciare in modo strutturato la direzione della Cloud Readiness degli applicativi, concentrando e semplificando così più funzionalità in un unico tool.  Tra i benefici, si è registrata inoltre una migliore gestione e distribuzione dell’effort tra team security e team factory e dei tempi di onboarding dei nuovi applicativi, ed è stato messo a disposizione un ricco bagaglio di dashboard per il monitoraggio delle diverse applicazioni e della verifica di eventuali loro gap rispetto allo stato dell’arte.  Grazie alla collaborazione con CAST, Leroy Merlin ha aperto la strada verso la realizzazione di una soluzione integrata per la verifica e il monitoraggio della qualità del codice e della sicurezza delle applicazioni. L’obiettivo del 2021 sarà automatizzare sempre più la sua pipeline DevSecOps e velocizzando lo sviluppo delle applicazioni, coniugando qualità del codice e sicurezza.