2013 yılında Paris’te kurulan ManoMano şirketi, birkaç yıl içinde internette kendin yap, ev ve bahçe alanlarında Avrupa lideri haline geldi. Start-up, Bpifrance, Partech ve Oseo’nun desteğiyle iki Fransız, Philippe de Chanville ve Christian Raisson tarafından ortaklaşa kuruldu.
Bugün, bu e-ticaret platformu 4.000 tüccardan 16 milyon referans sunuyor. 750’si Fransa’da olmak üzere 1.000 çalışanı bulunmakta ve altı Avrupa ülkesinde – Fransa, Belçika, İspanya, İtalya, Almanya, Birleşik Krallık – beş dilde (Fransızca, Almanca, İngilizce, İtalyanca ve İspanyolca) faaliyet göstermektedir. 2020 yılında pandemi ve coğrafi genişlemesinden yararlanarak cirosunu 2019 yılına göre ikiye katladı.
Bunun birkaç nedeni var. “E-ticaret, karantina dönemlerinde bir “patlama” yaşadı. Yeni tüketim kalıplarına yanıt veren gerçek bir Kendin Yap uzmanı olarak tanımlandık. Teknik kaynaklarımız sayesinde, ürün arayışında müşterilerimize destek olma ününe sahibiz. Platform Mühendisliği Müdürü Clément Hussenot-Desenonges, çalışanların yarısının “teknoloji” veya “dijital” geçmişlerden geldiğini açıklıyor.
İki adımda “tam buluta” doğru
2019 yılına kadar ManoMano’nun bilgi sistemi (IS) Claranet tarafından barındırıldı ve yönetildi. Ardından AWS genel bulutuna geçiş kararı alındı.
“Zaten yükte güçlü bir artışla karşı karşıyaydık. Neyse ki bu seçeneği seçtik çünkü Mart ve Nisan 2020’de e-ticaret trafiğimiz önceki aylara kıyasla dört kat arttı”, diyor Clément Hussenot-Desenonges. Şunları ekliyor: “Bu genel bulut seçimi bize çok fazla esneklik sağladı. Geliştirme araçları açısından, özellikle veri tabanının güvenliğini sağlamak için bize bir güvenilirlik garantisi veren yönetilen hizmetlere güveniyoruz. »
“Hesaplama” kaynakları için ManoMano ayrıca AWS’ye, EC2 teklifine ve “çok fazla esneklik sağlayan” Kubernetes kapsayıcılarına güveniyor.
İki aşamalı bir geliştirme
Bu artış iki aşamada gerçekleşti: Eylül 2019’da, Bare Metal sunucularında zaten sanallaştırılmış üç “monolit” dahil en önemlileri olmak üzere yaklaşık otuz uygulama AWS’ye taşındı. Ve altı ay sonra Docker tipi kapsayıcılara geçiş düzenlendi.
“Çalışma yöntemlerimizi basitleştirmek için önce yönetilen hizmette AWS’nin ECS (Elastik konteyner hizmeti) düzenleyicisini benimsedik, ardından AWS’nin EKS adlı Kubernetes teklifine geçtik. Hizmetlerimizin %95’i EKSA üzerinde docker tipi konteynerler şeklinde konuşlandırılmıştır. Kalan %5, API ağ geçitleri ve kimlik doğrulama hizmetleri gibi “temel hizmetlerimiz”dir,” diye açıklıyor mühendis.
Çoğunlukla, “kurumsal” uygulamalar, SaaS (Hizmet olarak Yazılım) modundaki Google Cloud hizmetlerine (Windows, Linux ve iOS’taki uygulamalar) dayanır.
Siber güvenlik: kalıcı saldırılar
Siber güvenlik söz konusu olduğunda, ManoMano, işi Avrupa’da yeni pazarlara genişledikçe, teşebbüs edilen siber saldırı sayısının arttığını gördü. “Tehditler günlük ve kalıcıdır. Saldırılar aritmetik olarak ilerledi. İlk üç veya dört yılda, yılda 100.000’e kadar deneme kaydettik. Bugün 10 katımız var. Ancak, genel olarak e-ticarette gözlemlenen standart bir büyüklük sıralamasında kalıyoruz”, diyor Bilgi Güvenliği Başkanı Fabien Lemarchand.
Her türlü saldırıya atıfta bulunulur: günlük olarak DDoS saldırılarından müşteri verilerine sızma girişimlerine ve hatta ödeme işlemlerini dolandırma girişimlerine kadar – “oltalama” türünden saldırılara değinmiyorum bile.
“Platformlarımızı her gün test eden sekiz kişilik bir siber güvenlik ekibi kurduk. Fabien Lemarchand, “Etik” olarak bilinen “fair play” korsanlarını ödüllendiren bir hata ödül programına bağlıyız, bu ödül avcıları web sitelerindeki güvenlik açıklarını gidermenize yardımcı oluyor”, diye açıklıyor.
Şeffaflık ve işbirliği
Bu amaçla DSİ, “güvenlik platformunun bir uzantısı” oluşturmuştur. “Özellikle her zaman çok işbirlikçi bir “açık kaynak” kültürümüz olduğu için bize çok fazla şeffaflık getiriyor; böylece çeşitli e-ticaret platformlarından birçok meslektaşımızla işbirliği yapıyoruz” diye açıklıyor.
Bu şeffaflık çalışanlar için de geçerlidir. “Eğitim” yaklaşımını seçtik. Savunma yeteneklerimizi düzenli olarak test ediyoruz; çeşitli kanallar aracılığıyla düzenli olarak “kimlik avı” simülasyonları başlatıyoruz: USB anahtarları, fiziksel izinsiz giriş, “zayıf” yazılım, QR kodu vb. Bu simülasyonlar herkes için faydalıdır ve zayıf noktaların çözülmesine katkıda bulunur” diye düşünüyor.
ManoMano, platformlarını korumak için diğer çözümlerin yanı sıra Cloudflare güvenlik hizmetleri ağını kullanmayı seçti. “Önemli bir ortaklık. Teklifleri, bize gelen akışlarda ek bir güvenlik katmanı sağlar. Siber güvenlik yöneticisi, kötü niyetli parametreleri tespit etmek ve belirli işlemleri IS’ye girmeden önce engellemek için tüm talepler inceleniyor” diye açıklıyor.
Tasarıma göre güvenlik
Diğer siber güvenlik çözümlerinin yanı sıra, birçok araç yukarı akış geliştiricilerini korumayı amaçlar: iş istasyonlarında çoklu kimlik doğrulama, kod denetimi, isteklerin kontrolü vb.
“Tasarım yoluyla güvenlik” prosedürlerini, örneğin yeni bir uygulamayı devreye almaya hazırlanırken veya geliştirme sırasında otomatik olarak uygularız: tüm bileşenler birer birer test edilir; ve izinsiz giriş testleri yapıyoruz”, ManoMano’nun CISO’sunun altını çiziyor.
“İnsan güçlü bir bağ haline gelmelidir. Bu, tüm çalışanlarla çok fazla iletişim gerektirir. »
IF vs Kötüler
Üç tür farkındalık yaratma etkinliği düzenlemeyi seçmiştir: bir gün veya yarım gün boyunca, çevrimiçi ve “yarı yüz yüze”. “Kendimizi teknik arızalar durumuna sokarız; vaka mümkün olduğunca çabuk çözülmelidir: IS’deki sorunu tanımlayın ve yeniden başlatmayı sağlayın. Önce senaryoyu hayal edecek ve olaya neden olacak küçük bir “kötü adam” grubu kurduk” diyor.
Bu alıştırmalar aynı zamanda çok düzenli olarak yenilik yaratmaya ve iyileştirmeleri hayal etmeye de katkıda bulunur. “Bu ‘yangın tatbikatları’ [alerte au feu, NDLR] IS üzerinde daha esnek sistemler kurmamıza izin veriyor; çünkü bu arızalara neden olarak (“kaos mühendisliğinden” bahsediyoruz), sistemlerin ve ekiplerin nasıl davrandığını gözlemliyoruz” diye ekliyor Fabien Lemarchand.
Mevcut IS projeleri arasında güvenlik öncelikli bir alan olmaya devam ediyor. “Büyümeye devam ederken ve 2019’da başlayan B’den B’ye faaliyeti geliştirmek istediğimizden, dayanıklılığımızı güçlendirmek için çalışma yöntemlerimizi yeniden düşünmeliyiz. Çevik yaklaşımımız, “self servis” odaklıdır; çünkü ekipleri hizmetleri işletmek için daha özerk hale getirmek istiyoruz. Verimlilik ve yenilikçiliğin anahtarı bu,” diyerek sözlerini sonlandırıyor Clément Hussenot-Desenonges.