Kathmandu

À l'instar de ses solutions serverless, les services de gestion des accès et de la sécurité proposés par Cloudflare minimisent la charge administrative de l'équipe chargée de l'ingénierie chez Kathmandu

Enseigne internationale sise à Christchurch, en Nouvelle-Zélande, Kathmandu se spécialise dans la vente de vêtements et d'équipements pour le voyage et les activités de plein air. « Nos produits permettent à nos clients de voyager dans le monde entier en étant parfaitement équipés pour les expériences de plein air », nous explique James Deane, responsable du développement web. Kathmandu dessert 130 pays à travers le monde et répond aux besoins d'une clientèle extrêmement diversifiée, des aventuriers urbains aux explorateurs de grands espaces, en passant par les globe-trotters et toutes les catégories de voyageurs entre ces deux extrêmes. À l'automne 2019, Kathmandu a acquis Rip Curl, une marque australienne mondialement reconnue de produits dédiés au surf, renforçant d'autant la valeur de l'entreprise, estimée à environ 1 milliard de dollars.

Le défi : remplacer une plate-forme d'amélioration des performances et de la sécurité difficile à manier

Avant de s'associer à Cloudflare, Kathmandu avait recours aux services d'amélioration des performances et de la sécurité proposés par Akamai. « Ils étaient très difficiles à utiliser », se souvient Deane. « Notre équipe d'ingénieurs est particulièrement petite et nous avons un million de choses à faire. Nous n'avons pas le temps pour une plate-forme d'amélioration des performances à l'utilisation trop complexe ». Kathmandu avait également besoin d'une protection supplémentaire contre certaines cybermenaces spécifiques. « Les commerçants en ligne sont des cibles privilégiées pour les cybercriminels, en particulier les entreprises telles que la nôtre, fondées sur la plate-forme Magento. Certains groupes de cybercriminels organisés se consacrent exclusivement à l'attaque des boutiques qui utilisent Magento ».

Après avoir comparé plusieurs prestataires, Kathmandu a choisi Cloudflare en raison de son ensemble de fonctionnalités, de ses capacités et de sa simplicité d'utilisation. « Le choix de Cloudflare fut évident pour nous, car son offre répondait à tous nos besoins (et même plus encore), sans complexité supplémentaire ». Kathmandu a commencé par souscrire la suite de base d'amélioration de la sécurité et des performances de Cloudflare, qui comprend le réseau CDN et le pare-feu WAF de l'entreprise. Un peu plus tard, la société a ajouté les solutions Cloudflare Access et Workers.

Cloudflare Access sécurise l'accès aux applications internes sans complexité supplémentaire

Avant de s'associer à Cloudflare, Kathmandu passait par l'authentification HTTP pour sécuriser l'accès à certaines applications internes et par Azure AD pour d'autres. Malheureusement, l'authentification HTTP présente des failles de sécurité : les identifiants de connexion ne sont pas chiffrés et donc dangereusement vulnérables. Le service Azure AD s'est révélé difficile à étendre aux applications internes et aux utilisateurs externes, comme les sous-traitants. « Nous souhaitions pouvoir permettre à nos partenaires d'accéder à nos applications sans tout le travail de configuration nécessaire à la mise en place d'Azure AD, sans toucher aux serveurs et sans gérer de fichiers de configuration. En s'intégrant à Azure AD, Cloudflare Access s'affranchit de toute cette complexité, de bout en bout », se souvient Deane.

Deane a décidé de mettre la solution Cloudflare Access à l'essai sur les applications de développement et de test de Kathmandu. « Il s'agissait d'un scénario d'utilisation d'envergure plutôt réduite, mais d'importance capitale », nous explique-t-il. « Nous avons des partenaires dans le monde entier. L'un de nos principaux partenaires de développement se situe en Biélorussie. Un accès mondial sécurisé à notre environnement de test/développement s'avère donc particulièrement important.

La configuration du pilote n'a demandé que 30 minutes, du début à la fin, et les utilisateurs finaux y ont réagi très favorablement. Sur la base de ce succès, Deane a commencé à déployer Access dans le reste de l'entreprise. Aujourd'hui, l'ensemble de nos partenaires, employés en télétravail et employés sur site utilisent Access pour s'authentifier. « Nos employés et partenaires s'extasient devant la fluidité d'Access par rapport à Azure AD. Notre panel d'utilisateurs va des techniciens chevronnés aux profanes. Il n'est donc pas évident d'assurer leur sécurité sans rendre les choses trop compliquées pour les utilisateurs sans connaissances techniques particulières. Notre responsable en sécurité des informations apprécie la manière dont Access trouve un équilibre entre la sécurité et la simplicité d'utilisation. »

Deane étudie actuellement de quelle manière utiliser Access pour protéger les systèmes internes de Kathmandu. « La plate-forme Magento fait vraiment office de sésame pour une entreprise de commerce électronique. Nous traitons des dizaines de millions de dollars de transactions pour des millions de clients. Nous travaillons actuellement sur l'intégration d'Access aux solutions d'authentification unique (SSO, Single Sign-On) et d'authentification multifacteurs (MFA) en même temps qu'Azure AD ».

Le pare-feu WAF de Cloudflare offre de la visibilité, tout en améliorant la sécurité et les performances

Le pare-feu WAF a joué un rôle essentiel dans la décision de Kathmandu de s'associer à Cloudflare. « En fin de compte, tout se résume à la stratégie de sécurité de notre plate-forme », déclare Deane.

Kathmandu cherchait tout particulièrement à filtrer le trafic des bots. Lors d'une journée moyenne, le site de Kathmandu, véritable porte-étendard du commerce électronique australien, attire plusieurs milliers de ces demandes malveillantes. « L'un de nos plus gros problèmes réside dans les attaques de bots sur une section dynamique du site, comme la page d'un produit ou la page de paiement. Comme ces pages ne sont pas mises en cache, chaque requête atteint la base de données. Prise sous un flot de requêtes, la base de données s'effondre, le site devient inutilisable et les clients ne peuvent pas effectuer de transactions », détaille Deane.

Le pare-feu WAF de Cloudflare a résolu ce problème. À la mi-août, le site de Kathmandu s'est trouvé mitraillé par 29 millions de requêtes provenant de la même adresse IP. « La fonction de blocage automatisé du pare-feu WAF a réglé le problème et mon équipe a mis en place un blocage d'adresse IP supplémentaire au cas où quoi que ce soit se glisse entre les mailles du filet », se souvient Deane. « La visibilité offerte par le pare-feu WAF fait une énorme différence. Chaque membre de mon équipe peut accéder au portail WAF et contrôler ce qui se passe à tout moment. Nous pouvons ainsi réagir immédiatement. »

L'équipe de Deane trouve le pare-feu WAF extrêmement facile à configurer et à gérer, même en ce qui concerne la rédaction de règles de pare-feu personnalisées. « Les règles automatisées répondent à la majorité de nos besoins, mais la possibilité de rédiger des règles personnalisées constitue un atout extraordinaire. Par exemple, les outils d'analyse du pare-feu WAF nous ont permis d'identifier un grand nombre de requêtes malveillantes provenant de visiteurs extérieurs à l'Australie. Nous avons donc configuré un test géolocalisé afin de filtrer les utilisateurs humains des bots. »

En bloquant les requêtes malveillantes, le pare-feu WAF de Cloudflare permet de s'assurer que les sites de Kathmandu restent disponibles et opérationnels pour les clients légitimes. Grâce au pare-feu WAF permettant de bloquer les bots malveillants et au réseau CDN de Cloudflare assurant la diffusion du contenu en périphérie du réseau, et donc à proximité des utilisateurs, les sites de Kathmandu sont capables de faire face aux pics de trafic. « Comme nous vendons des vêtements et des équipements de plein air, nous conduisons des campagnes marketing extrêmement saisonnières, générant des niveaux de trafic 5 à 10 fois supérieurs à la normale », précise Deane. « La résilience offerte par Cloudflare fait une énorme différence. »

Par la suite, Kathmandu utilisera Cloudflare Workers pour s'abstraire de la complexité

Concernant l'avenir, Deane a de grands projets pour Workers, la plate-forme serverless de Cloudflare. « L'expérience de développement au sein de Workers est fantastique. C'est une solution vraiment très simple et bien réalisée. Il ne nous a littéralement fallu que quelques secondes pour aboutir à un résultat, et ce en partant de rien. Le fait d'avoir cette ressource à disposition constitue une fabuleuse opportunité : Workers va faire une énorme différence pour nous. »

Deane prévoit d'utiliser Workers afin de développer un outil de localisation des magasins physiques amélioré pour les sites web de Kathmandu, ainsi que pour trouver des moyens de s'abstraire de la complexité de Magento. « Nous sommes en train d'examiner à quel endroit l'approche serverless pourrait favoriser l'efficacité. Chaque possibilité de nous découpler de Magento constitue une formidable avancée. De plus, je sais que le fonctionnement serverless dépasse de loin ce que nous pouvons accomplir avec Magento. »

Deane précise qu'il n'hésiterait pas à recommander Cloudflare à un collègue. « Que vous soyez une petite ou une grande entreprise, l'utilisation des solutions Cloudflare s'impose comme une évidence. Je ne vois vraiment pas pour quelle raison une entreprise se passerait des services de Cloudflare. »

Pour en savoir plus sur l'acquisition de Rip Curl par Kathmandu, rendez-vous ici.