Entreprise française spécialisée dans le développement, l'édition et la distribution de jeux vidéo, Ubisoft n’est plus à présenter. Ce dernier ne compte pas moins de 19 000 collaborateurs dans 40 pays. Avec pour besoin de surveiller et gérer les secrets de son infrastructure mais aussi limiter les interruptions de service, l’éditeur s’est penché sur la solution Vault de Hashicorp. Ce dernier gère les secrets de l'infrastructure sur des milliers d’applications dans 7 pays. Après une phase de test, la solution a été déployée sur l’ensemble de l’infrastructure, apportant son lot de bénéfices et de surprises. Donald Havas, directeur associé chez Ubisoft est revenu sur cette intégration de Vault. Les défis ont été multiples pour Ubisoft : il s’agissait d’abord de standardiser les bonnes pratiques de gestion des secrets sans avoir d'impact sur les flux de travail individuels des studios. Il s’agissait par ailleurs de réduire le risque de violation des données, d'indisponibilité imprévue des services et de dégradation des performances. Enfin, l’éditeur souhaitait remplacer la gestion manuelle des secrets et des jetons par des solutions automatisées.

« L’écosystème d’un jeu est très complexe : la plupart de nos jeux sont des jeux en ligne et connectés qui génèrent du trafic et impliquent des problématiques spécifiques au monde en ligne » précise Donald Havas. En étant dans un écosystème hyper connecté, et en cas de problème de sécurité, les répercussions peuvent être importantes souligne-t-il. Ubisoft est par ailleurs très axé sur une stratégie cloud first depuis des années et sur l’hybridation, utilisant de nombreuse solutions cloud. « Cette stratégie implique des attentes très communes à l’industrie, en termes de résilience, de haute disponibilité, de faible latence, de sécurité et aussi en termes d’open source ».

Un remaniement des équipes et des bonnes pratiques

Vantant la créativité et l’autonomie dont ont fait preuve les équipes par le passé sur la façon de travailler au sein d’Ubisoft, Donald Havas explique la transformation qui s’est opérée. « Nous avons toujours préféré traiter nos équipes individuelles comme des studios et leur permettre de travailler de manière autonome, car cela les rend plus agiles et plus réactives aux demandes des clients et aux besoins du marché sans avoir à compter sur une équipe d'ingénierie centrale pour montrer la voie. Mais cela crée également des défis uniques et préoccupants lorsque les équipes ont leurs propres approches de la gestion des secrets et de la sécurité, car cela entraîne une gouvernance laxiste, une visibilité limitée et un manque de résilience qui invite à des interruptions ou à une dégradation du service ».

Donald Havas a ainsi fait part de difficultés rencontrées par le passé. « Des incidents ont pu survenir, soit parce que les solutions n’étaient pas appropriées, soit parce qu’il n’y avait pas des personnes pour opérer ces solutions et aussi parce que les bonnes pratiques n'étaient pas répandues ». Shuichi Sekino, chef de produit chez Ubisoft, cite en exemple ce moment clé « où les secrets ont expiré et nous n'avions pas de visibilité ou la capacité de les retrouver, ce qui a entraîné des temps d'arrêt non planifiés ». En conséquence, « même une panne d'une journée due à l'expiration d'un certificat ou au changement de mot de passe d'un certain site peut avoir un impact significatif sur l'expérience de jeu, qu'il s'agisse de l'enregistrement d'un nouveau joueur ou de l'expérience de jeu elle-même ». Partant de ce constat, Ubisoft s’est donc tournée vers Vault.

« Pas d’incident depuis des mois »

« On avait vraiment ce besoin d’uniformiser nos pratiques, de tout centraliser et également au niveau des outils » précise Donald Havas. L’éditeur a dans un premier temps analysé l’ensemble des solutions existantes, avec des critères de sélection précis. « Il nous fallait maintenir un niveau de qualité opérationnelle, la plateforme ou les plateformes devaient être opérationnelles 24/7 » ajoute-t-il. Après une première phase d'évaluation sur la version open source, Ubisoft est très rapidement passé sur le modèle entreprise pour les fonctionnalités, le niveau de support que cela offre, détaille Donald Havas. Le département Engineering & Platform d'Ubisoft, en charge de l'implémentation, de la qualité opérationnelle et la maintenance de cette solution Vault, a accueilli cette solution avec enthousiasme. « Nous avons mis en place une architecture hautement résiliente avec du basculement et de la redondance sur plusieurs régions afin de s’assurer que l’on offre bien un service opérationnel 24/7 ».

Cette transformation, entamée il y a maintenant 18 mois avec une petite équipe de 5 ingénieurs, est aujourd’hui terminée. La solution est en place depuis plusieurs mois, presque une année désormais, et tout le monde passe sur cette solution. A date les retours sont très positifs, explique Donald Havas. Il estime que cette solution est bénéfique pour l’entreprise en ce sens où cette dernière n’a pas reproduit d’incident depuis des mois depuis qu’elle utilise la solution. Les objectifs de niveau de service ont ainsi été portés à 99,9 % de temps de fonctionnement, ce qui est supérieur aux normes du secteur. La rotation automatique des secrets sur plusieurs plateformes cloud a permis de réduire les coûts liés à la gestion manuelle des secrets. Enfin, l'élimination des interruptions de service non planifiées dues à des certificats expirés ou à des secrets mal configurés est l'un des points forts de cette solution mise en place.

Former les équipes en continu

Vault permet ainsi d’avoir une vision d’ensemble, centralisée des certificats et de la gestion de secrets chez Ubisoft, pour toutes les équipes concernées, notamment pour les gestionnaires de version ou les équipes en charge du contrôle de qualité. M. Havas précise par ailleurs que le basculement vers cette solution implique d’éduquer les équipes en termes de bonnes pratiques concernant la sécurité et la gestion des secrets. « On doit accompagner les gens dans le temps, c'est quelque chose qu'on découvre, qu'on imaginait, mais qu'on est en train de mettre en place ».

« Nous voulons certifier nos équipes pour se maintenir au goût du jour sur Vault. Hashicorp propose des formations et des certifications. L’objectif est de certifier nos équipes existantes ainsi que les nouveaux arrivants dans nos équipes ». Ubisoft ne compte cependant pas agrandir ses équipes dédiées à cela, misant plus sur une formation complète à Vault. Les employés sont par ailleurs formés « autour d’autres technologies proposées par Hashicorp, notamment Terraform » pour sensibiliser à ces technologies.