Cette mission s’est déroulée au sein de l'entreprise Ippon, en intervention chez Orange Bank. Elle s’inscrit dans un contexte exigeant, à la croisée de l’infrastructure cloud, de la gouvernance et de l’automatisation, au sein d’un environnement bancaire soumis à de fortes contraintes de sécurité et de conformité.
L’enjeu implicite était clair : être capable de livrer une solution fiable, exploitable et maintenable, tout en s’intégrant à un existant complexe et fortement réglementé.
Contexte et positionnement de la mission
L’intervention s’est concentrée sur des sujets infra, gouvernance et automatisation côté AWS. Le périmètre n’était pas applicatif, mais transversal, avec un objectif précis : améliorer la visibilité et le pilotage opérationnel d’un parc de machines virtuelles.
Dans un contexte bancaire, chaque action implique des processus, des validations et une gestion fine des accès. Cette réalité a fortement structuré l’approche adoptée tout au long de la mission.
Une problématique de conformité opérationnelle
Orange Bank disposait d’une politique interne claire : les machines virtuelles doivent être mises à jour au minimum une fois par mois. Le problème n’était pas la règle elle-même, mais sa mise en œuvre opérationnelle.
Il était difficile de savoir, à un instant donné :
- quelles VM étaient à jour,
- lesquelles étaient en retard,
- et comment prioriser les actions correctives.
Cette absence de visibilité limitait la capacité de pilotage et compliquait la gouvernance du patching.
Objectif : automatiser le contrôle et la remontée d’information
L’objectif de la mission était donc d’automatiser le contrôle de conformité des VM et de produire une remontée d’information fiable et exploitable.
Il ne s’agissait pas uniquement de détecter des écarts, mais de fournir une vision claire de l’état du parc, utilisable aussi bien par les équipes infra que par les instances de gouvernance.
Une solution automatisée et industrialisée
La solution mise en place repose sur un service automatisé développé en Python, déployé sous forme de fonction AWS Lambda, exécutée quotidiennement.
Chaque exécution permettait :
- d’analyser l’état du parc de machines virtuelles,
- d’identifier les VM conformes et non conformes,
- de vérifier la présence et la cohérence des tags,
- et de produire un summary synthétique destiné aux équipes concernées.
Gouvernance par la visibilité
L’approche adoptée était résolument orientée gouvernance. Rendre visible l’état de conformité permettait :
- de prioriser les actions de patching,
- de suivre les tendances dans le temps,
- et de disposer d’indicateurs actionnables.
Cette logique transforme un contrôle ponctuel en une routine opérationnelle continue.
Stack technique et pratiques d’ingénierie
La solution s’appuyait sur les services AWS existants, avec une exécution planifiée via Lambda et des interactions réalisées au travers du SDK Python (boto3).
Un soin particulier a été apporté à la qualité logicielle :
- Python fortement typé,
- MyPy en mode strict,
- Pylint en configuration stricte.
L’objectif était clair : réduire le risque en production, améliorer la lisibilité du code et garantir une maintenabilité durable.
Déploiement et Infrastructure as Code
Le déploiement de la solution a été réalisé via Terraform, en cohérence avec la stack existante. Cette approche garantissait la reproductibilité des environnements et l’alignement avec les pratiques d’Infrastructure as Code déjà en place.
Même sur un périmètre limité, l’exigence “production-ready” a été conservée.
Intégration dans un environnement complexe
L’un des aspects les plus marquants de la mission a été l’intégration dans un environnement de grande organisation bancaire.
Les accès et permissions étaient difficiles à obtenir, l’architecture existante parfois peu explicite, et la présence de composants legacy nécessitait une lecture attentive de l’existant.
Un cas fréquent consistait à distinguer un bug applicatif d’un simple manque de droits IAM, notamment lors de la récupération de métadonnées ou de tags.
Diagnostiquer dans un contexte contraint
Pour répondre à ces contraintes, plusieurs leviers ont été utilisés :
- itérations courtes avec validation régulière,
- ajout de logs explicites pour distinguer erreurs fonctionnelles et erreurs de permissions,
- demandes d’accès ciblées, strictement limitées au nécessaire.
Cette approche progressive a permis de sécuriser les évolutions sans dégrader la posture de sécurité.
Apprentissages autour d’IAM et de la sécurité
Cette mission a permis d’approfondir la compréhension des politiques IAM et du principe de moindre privilège. Lire, écrire et ajuster des policies implique un équilibre constant entre sécurité et besoins opérationnels.
Ces arbitrages font pleinement partie du travail en environnement bancaire.
Gouvernance infrastructure et qualité des données
Un autre apprentissage clé concerne l’importance des tags et de leur qualité. Sans données fiables, il est impossible de piloter efficacement une infrastructure.
La mise en place d’un contrôle régulier, combiné à un reporting clair, renforce durablement la gouvernance.
Résultats observables
La solution livrée a permis d’apporter :
- une visibilité quotidienne sur l’état de patching,
- une réduction du contrôle manuel,
- des indicateurs exploitables pour le pilotage de la conformité.
Des KPIs tels que le taux de conformité, le nombre de VM en retard ou la couverture de tagging deviennent alors des outils de décision concrets.
Ce que nous retenons de cette mission
Cette expérience chez Orange Bank illustre parfaitement la valeur de l’automatisation lorsqu’elle est mise au service de la gouvernance. Elle démontre qu’un périmètre limité, traité avec rigueur, peut avoir un impact significatif sur la lisibilité et la maîtrise d’un système complexe.
C’est ce type de mission, mêlant exigence technique, contraintes de sécurité et clarté opérationnelle, qui nourrit notre approche chez Quill Pro.