Comment PrivatBank a bâti un environnement sécurisé pour des milliers de développeurs avec GitLab et Cloudfresh

PrivatBank est l’une des plus grandes banques d’Europe de l’Est. D’un point de vue technique, c’est également l’une des plus importantes organisations informatiques d’Ukraine.

Plus de 80 % des logiciels utilisés en interne et par les clients sont conçus par des équipes maison. Parallèlement, la banque doit répondre à des exigences rigoureuses en matière de sécurité, de conformité, de stabilité et de gestion du changement. Pour y parvenir, l’institution avait besoin d’une plateforme unique capable de standardiser le développement à l’échelle de l’organisation.

Auparavant, la banque s’appuyait sur des outils fragmentés : Jenkins gérait le CI, le code était stocké dans des systèmes distincts et les processus étaient dispersés sur différentes plateformes.

Cela entraînait plusieurs défis :

• Absence d’un environnement unifié
• Normes de développement hétérogènes
• Transparence limitée des processus

Pour résoudre ces problèmes, la banque a entamé sa transition vers une plateforme DevSecOps unifiée.

Pourquoi GitLab ?

Au cours des deux dernières années, GitLab s’est imposé comme la plateforme de développement standard de la banque. Au-delà du stockage de code, GitLab est devenu le socle de la gestion de projet, du CI/CD, de la sécurité du code, du contrôle des changements, de l’audit et de la conformité.

Chez PrivatBank, GitLab est devenu le cœur du processus DevSecOps.

Dev : un développement standardisé et un workflow unifié

Le principal défi de PrivatBank n’était pas le stockage du code, mais l’établissement d’un workflow d’ingénierie unique à travers l’organisation.

Avec des centaines d’ingénieurs et des dizaines d’équipes, la moindre variation dans les processus peut entraîner des complications. En adoptant GitLab comme plateforme centrale, la banque a intégré toutes les étapes clés du cycle de vie du code :

Les développeurs peuvent désormais suivre l’intégralité du parcours de livraison en un seul endroit, du premier commit jusqu’à la mise en production.

La révision de code comme standard d’ingénierie

GitLab soutient désormais les standards d’ingénierie de la banque. Chaque modification de code suit un workflow de “merge request” où les ingénieurs pairs examinent les changements. Durant cette révision, l’équipe peut :

• Vérifier la conformité aux normes de codage
• Identifier les problèmes potentiels précocement
• Suggérer de meilleures solutions architecturales
• Garantir que le code répond aux exigences de sécurité

Le système conserve un historique complet des modifications, offrant une transparence totale sur l’évolution du code et les raisons des décisions prises.

C’est particulièrement critique pour les organisations de grande envergure : GitLab rend le processus de révision transparent et automatisé, même pour des équipes distribuées. Résultat : les révisions de code servent de levier direct pour améliorer la qualité logicielle.

Flexibilité du développement à grande échelle

Pour PrivatBank, un autre avantage crucial est la capacité à gérer plusieurs flux de travail en parallèle.

Dans le secteur bancaire, les projets à long terme côtoient souvent des mises à jour réglementaires urgentes. Pour gérer cela, les équipes de PrivatBank utilisent le modèle de branchement (branching) flexible de GitLab. Cela permet de travailler simultanément sur :

• Le développement fonctionnel à long terme
• Les correctifs critiques (hotfixes)
• Des projets expérimentaux ou de R&D

Concrètement, cela signifie que l’équipe peut créer une branche distincte pour une modification urgente, l’implémenter et la livrer en production sans interrompre le travail sur un projet majeur.

L’Infrastructure-as-Code et une architecture claire

Un autre principe fondamental de la pratique d’ingénierie de la banque est de gérer l’infrastructure aux côtés du code. Cette approche garantit que les équipes interagissent avec le système comme un environnement unifié plutôt que comme une collection de fragments isolés.

Lorsqu’un nouvel ingénieur rejoint une équipe, il accède immédiatement au contexte complet du système, incluant :

• Le code documenté
• L’architecture définie
• Des structures de composants claires

Cela réduit le temps d’intégration (onboarding) et permet de contribuer plus rapidement aux projets. De plus, GitLab permet l’exécution de branches indépendantes pour tester des changements spécifiques. Les développeurs peuvent déployer des mises à jour dans leur propre environnement pour voir les résultats immédiats, sans attendre un build complet du système.

Pour une organisation de la taille de PrivatBank, cela réduit considérablement le délai entre le développement d’une fonctionnalité et sa vérification.

Sec : la sécurité intégrée au développement

Pour une institution financière, la sécurité ne peut pas être une étape finale ; elle doit faire partie intégrante de la construction. Chez PrivatBank, les outils de sécurité s’exécutent automatiquement dans le pipeline avant que les modifications n’atteignent le répertoire principal.

PrivatBank utilise les mécanismes de sécurité GitLab suivants :

• SAST — Analyse du code source pour détecter les vulnérabilités
• Dependency Scanning — Vérification des bibliothèques tierces
• Vulnerability Scanning — Identification des risques connus dans les dépendances

Ces contrôles s’exécutent directement dans le pipeline CI/CD, permettant à l’équipe d’identifier les problèmes avant même que le code n’atteigne l’environnement de test.

En intégrant les tests de sécurité plus tôt, les ingénieurs reçoivent un feedback pendant qu’ils écrivent le code. Si une bibliothèque contient une vulnérabilité, le système alerte le développeur dès la phase de codage, évitant ainsi des retouches coûteuses en fin de cycle.

Ce changement modifie fondamentalement le cycle de vie du développement. Auparavant, le workflow suivait cette séquence :

1. Le développeur écrit le code.
2. Il effectue un commit.
3. Le processus de build commence.
4. Les contrôles de sécurité et de conformité ont lieu.
5. Un problème est détecté.
6. Le développeur doit retravailler le code et recommencer tout le cycle.

Désormais, de nombreuses étapes répétitives sont supprimées. Les ingénieurs identifient les problèmes instantanément et les résolvent tout en travaillant sur le code, ce qui augmente la productivité globale.

La banque estime que cette approche a éliminé de multiples étapes de vérification redondantes, économisant 15 à 25 % du temps auparavant consacré à ces cycles. Le résultat principal reste cependant la qualité du code. Lorsque la sécurité fait partie du workflow, les ingénieurs produisent un code qui respecte intrinsèquement les normes organisationnelles dès le départ. En conséquence, le code entrant dans le système est conforme aux politiques internes dès la première tentative.

Ce changement de paradigme entraîne plusieurs résultats clés :

Open Source et conformité des licences

Une autre priorité critique pour la banque est la gestion des composants open source.

Différentes licences peuvent imposer des restrictions strictes, telles que :

• L’obligation de divulguer le code source propriétaire
• La création de conflits juridiques
• Des pénalités financières ou des dommages réputationnels

Pour une organisation de la taille de PrivatBank, gérer ces risques manuellement est pratiquement impossible. Pour y remédier, la banque a automatisé l’ensemble du processus via GitLab.

Pour gérer des milliers de composants, la banque utilise GitLab pour générer un Software Bill of Materials (SBOM) selon les standards CycloneDX et SPDX. L’équipe utilise ces informations pour établir ses propres politiques d’utilisation de l’open source.
Le système effectue automatiquement les actions suivantes :

• Identification des licences de dépendances
• Vérification de la conformité avec les règles internes
• Notification des développeurs en cas de violation lors de la merge request

Si une nouvelle bibliothèque n’est pas conforme aux politiques de l’entreprise, le développeur est alerté directement. Il peut alors soit obtenir l’approbation nécessaire, soit choisir immédiatement une alternative. Ainsi, le contrôle des licences n’est plus un processus post-développement isolé, mais une étape naturelle du travail de l’ingénieur.

Auditabilité et contrôle des changements

PrivatBank utilise les contrôles d’accès de GitLab pour maintenir une piste d’audit complète. Les fonctionnalités incluent :

• Politiques d’approbation pour les modifications critiques
• Révisions obligatoires des merge requests
• Restrictions de commit basées sur les rôles
• Historique complet de toutes les modifications

Cela signifie qu’à tout moment, la banque peut répondre à trois questions clés : qui a introduit le changement, qui l’a révisé et approuvé, et pourquoi il a été inclus dans la version. Pour une grande institution financière, cette transparence est vitale pour les audits internes, l’analyse d’incidents et la conformité réglementaire. En fin de compte, la sécurité n’est plus une fonction séparée mais une composante intégrante du quotidien des ingénieurs.

Ops : une livraison maîtrisée

PrivatBank a établi des directives internes pour le CI/CD afin de garantir que le code suive un parcours contrôlé du commit à la production. GitLab CI/CD sert de moteur d’automatisation principal, standardisant les builds et les tests tout en restant assez flexible pour les systèmes spécialisés.

La banque intègre également ses propres outils de qualité et de sécurité dans les pipelines GitLab, y compris des scanners SAST internes et des contrôles de conformité.

Modernisation des systèmes hérités (Legacy)

La gestion des systèmes hérités est un défi pour toute grande banque. PrivatBank utilise la flexibilité de GitLab pour intégrer ces systèmes dans le workflow CI/CD. Même si certaines étapes restent manuelles, GitLab offre un pipeline contrôlé qui garantit que chaque modification est tracée et vérifiée.

La qualité du code comme métrique principale 

PrivatBank mesure son succès par la qualité des livrables plutôt que par la simple rapidité.

L’ingénierie à grande échelle

La standardisation est cruciale compte tenu de l’envergure des opérations de PrivatBank :

• Plus de 700 plateformes internes et externes
• 1 000 développeurs travaillant simultanément
• Des dizaines d’équipes opérationnelles 24h/24 et 7j/7

Au cours des deux derniers mois seulement, l’environnement GitLab a enregistré :

À cette échelle, tout manque de standardisation devient rapidement un problème majeur. C’est pourquoi la centralisation des processus de développement a été un facteur clé de succès.

Stabilité de la plateforme

GitLab chez PrivatBank fonctionne dans un environnement auto-hébergé (self-hosted), ce qui permet un contrôle total sur l’infrastructure et garantit le respect des exigences de sécurité d’une institution financière.

Selon l’équipe de la banque, la plateforme fait preuve d’un très haut niveau de stabilité.

Pour une organisation où des milliers d’ingénieurs travaillent quotidiennement sur le code, c’est un facteur d’une importance capitale. La fiabilité de la plateforme signifie que les équipes peuvent se concentrer sur le développement de produits sans perdre de temps à résoudre des problèmes d’infrastructure.

Partenariat avec Cloudfresh

La transition de PrivatBank vers la version commerciale de GitLab s’est faite en collaboration avec Cloudfresh, partenaire officiel de GitLab en France.

L’équipe Cloudfresh accompagne la banque dans plusieurs domaines clés : du licensing de la plateforme au soutien des équipes d’ingénierie lors du passage à l’échelle des processus DevSecOps.

La collaboration inclut notamment :

• Le conseil sur le licensing et le modèle d’utilisation optimal de GitLab
• L’expertise technique lors de l’implémentation de nouvelles fonctionnalités, comme la plateforme Duo Agent
• Le support aux équipes d’ingénierie travaillant avec GitLab
• L’assistance dans la résolution de problèmes techniques

Pour une structure où des milliers d’ingénieurs utilisent la plateforme au quotidien, il est essentiel d’avoir accès à une expertise pointue et à un support réactif.

Ce mode de collaboration permet à PrivatBank non seulement de maintenir des opérations stables, mais aussi d’étendre progressivement son utilisation de l’outil. Avec Cloudfresh, l’équipe de la banque teste les nouvelles capacités de GitLab et les intègre à ses processus d’ingénierie.

Une approche du développement pilotée par l’IA

La prochaine étape de l’évolution de la plateforme est l’intégration d’outils d’IA dans le processus de développement. L’équipe teste déjà de nouveaux IDE et agents IA, et expérimente les capacités de GitLab Duo Agent Platform.

Parmi les domaines d’application potentiels :

• Contrôles automatisés de la qualité du code
• Analyse de la conformité aux standards de la pile technologique
• Optimisation des processus CI/CD
• Support supplémentaire pour les ingénieurs lors de l’écriture du code

Pour l’instant, ces capacités sont utilisées dans des scénarios pilotes, mais l’équipe de la banque étudie activement comment intégrer l’IA dans les flux de travail quotidiens des développeurs.

En définitive, GitLab est devenu bien plus qu’un simple système de stockage de code pour PrivatBank. La plateforme a unifié le développement, la sécurité et les opérations au sein d’un écosystème d’ingénierie unique, permettant la croissance continue de l’une des plus grandes organisations financières du pays.