Just Eat Takeaway

Just Eat Takeaway consolide ses défenses, élimine ses coûteux épisodes d'indisponibilité et économise ainsi des millions grâce à Cloudflare

Chez Just Eat Takeaway, tout tourne autour du fait de privilégier la praticité. Véritable leader de la livraison en ligne, Just Eat Takeaway opère sous sept marques dans 17 pays et met en relation plus de 61 millions de consommateurs dans le monde entier grâce à un réseau de plus de 300 000 restaurants, services et commerçants partenaires.

La mission principale de Just Eat Takeaway consiste à proposer une expérience client exceptionnelle, axée autour des notions d'efficacité, de choix et de valeur. L'entreprise se concentre sur la consolidation de ses plateformes technologiques afin de rationaliser la logistique de livraison et d'accélérer le service client. Elle élargit également ses activités au-delà du seul secteur de la livraison de nourriture et de boissons afin d'inclure aujourd'hui l'électronique, l'alimentation et les produits de consommation courante.

« Nos clients s'adressent à nous, car nous leur offrons toutes les options de choix dont ils ont besoin », explique Neal Potter, Head of Security Operations chez Just Eat Takeaway. « Nous leur proposons également une forte valeur ajoutée. En effet, le réseau logistique qui sous-tend nos services s'assure que les consommateurs reçoivent bien ce qu'ils ont commandé, le tout dans les délais. »

Éliminer les épisodes d'indisponibilité de sa plateforme et le trafic lié aux bots malveillants afin de protéger les revenus, la fiabilité et la confiance des utilisateurs

Avec plus de 700 millions de transactions client traitées par an, Just Eat Takeaway avait besoin d'un socle numérique sécurisé capable de garantir la disponibilité, de protéger les services en cas de forte charge et de soutenir des changements rapides. Toutefois, plus l'entreprise prenait de l'ampleur, plus son fournisseur de services tiers avait du mal à gérer les pannes récurrentes, qui mettaient les équipes internes à rude épreuve et sapait la confiance envers sa plateforme.

« Il était temps de trouver un partenaire fiable », déclare Potter. « Chaque épisode d'indisponibilité de la plateforme dû à notre fournisseur nous coûtait de l'argent. »

Afin d'exacerber encore les problèmes de performances et de disponibilité de l'entreprise, les bots non autorisés visaient les flux de planification des livreurs, en submergeant l'infrastructure logistique et en dégradant l'expérience de travail des utilisateurs légitimes. Les acteurs malveillants lançaient également d'innombrables attaques DDoS et tentatives d'exploitation de manière régulière, bon nombre d'entre elles soutenues par des outils d'analyse pilotés par IA.

« Notre plus grande préoccupation en matière de sécurité des applications réside dans l'évolution rapide du panorama des menaces », précise Potter. « Les acteurs malveillants qui s'en prennent à nos systèmes peuvent désormais faire appel à l'IA pour analyser notre défense et rechercher ses points faibles à grande échelle. » C'est un problème particulièrement grave, car chaque heure d'indisponibilité de nos plateformes nous coûte des millions. »

Just Eat Takeaway avait besoin d'un partenaire pour gérer sa surface d'attaque croissante et appliquer des politiques de sécurité cohérentes à l'échelon international. Ce partenaire devait être capable d'aider l'entreprise à accroître sa fiabilité et à réduire la complexité de sa plateforme, tout en sécurisant son infrastructure web publique à l'aide d'une solution d'amélioration de la connectivité réseau et de la sécurité unique et complète.

« La disponibilité, la résilience de notre plateforme et la protection des données de nos clients sont des facteurs essentiels. C'est pourquoi nous nous sommes associés à Cloudflare », déclare Potter « Ils se sont imposés comme les leaders du secteur et jouissent d'une excellente réputation dans ce domaine. Notre choix s'est avéré des plus pertinents. »

Établir une base numérique sécurisée et performante grâce aux solutions Cloudflare d'amélioration de la sécurité et des performances des applications

Cloudflare a offert à Just Eat Takeaway la couverture et les fonctionnalités mondiales dont l'entreprise avait besoin pour mettre à jour et stabiliser sa plateforme internationale au sein de son cloud de connectivité, un écosystème composable basé sur un réseau mondial, qui consolide nos services d'amélioration des performances, de la connectivité réseau, de la sécurité et du développement d'applications.

La migration de Just Eat Takeaway des services de son ancien fournisseur vers les solutions d'amélioration de la sécurité et des performances des applications proposées par Cloudflare s'est effectuée parallèlement au lancement d'une nouvelle initiative conçue pour automatiser la configuration de son pare-feu WAF, de même que ses pipelines CI/CD et ses pipelines de déploiement, par le biais de l'infrastructure en tant que code (IaC, infrastructure-as-code).

« En passant à l'infrastructure en tant que code au même moment que nous procédions à la migration de notre pare-feu WAF, nous avons dû faire face à un déficit de compétences que nous devions combler », explique Potter. « Le partenariat avec Cloudflare s'est révélé essentiel à notre réussite. Il nous a donné accès aux bonnes personnes et nous a permis d'acquérir les compétences dont nous avions besoin. La situation dans laquelle nous nous trouvons aujourd'hui découle directement des bases que nous avons jetées à cette époque. »

La migration complète de Just Eat Takeaway lui a demandé moins de deux mois. Grâce au pare-feu applicatif web (WAF) Cloudflare, aux fonctions de sécurité cloud-native disponibles sur le réseau Cloudflare (présent dans 335 villes et 125 pays), ainsi qu'à la capacité de 405 Tb/s du service de protection anti-DDoS mis en œuvre par Cloudflare, Just Eat Takeaway absorbe et atténue les attaques à la périphérie du réseau sans nuire aux performances de ses équipes ni épuiser leurs ressources.

« Lorsque nous avons opté pour Cloudflare, tous les regards étaient braqués sur la disponibilité, mais les solutions proposées par l'entreprise bloquent sans effort des centaines d'attaques DDoS et des centaines de milliers de tentatives d'exploitation chaque année », précise Potter. « Tout se passe comme par magie. Les choses se font toutes seules. Nous n'avons même pas à y penser. »

Afin de rationaliser encore davantage la sécurité de ses ressources web publiques, Just Eat Takeaway a mis en place des pipelines Terraform pour renforcer les ensembles de règles WAF gérés par Cloudflare et les ensembles de règles de l'OWASP, qui permettent désormais à l'entreprise de bloquer les vulnérabilités zero-day, les dix principales techniques d'attaque, les identifiants dérobés et divulgués, ainsi que l'extraction de données sensibles.

« Les règles Cloudflare sont vraiment efficaces. Elles permettent de suivre l'évolution des menaces et des tentatives d'exploitation à l'aide d'une approche sans intervention humaine », déclare Potter « De même, la possibilité d'utiliser Cloudflare pour rédiger et déployer des règles personnalisées sous forme de code, mais aussi de les gérer à grande échelle sur l'ensemble de notre parc, se révèle particulièrement précieuse. »

Réduire le trafic lié aux bots indésirables afin d'assurer un processus de planification équitable

En renforçant la sécurité de ses applications publiques grâce à la solution Cloudflare Bot Management, dans le cadre d'une approche multi-technologique, Just Eat Takeaway a bloqué une autre source importante d'hémorragie des systèmes, tant sur le plan financier que des performances et des ressources internes : les livreurs qui passaient par des plateformes automatisées, mais non autorisées, afin de monopoliser les créneaux de livraison les plus demandés.

« Nos applications de planification de l'emploi du temps des livreurs recevaient plus de 90 % de trafic lié à des bots, car certains d'entre eux utilisaient des outils de capture de plages horaires pour contourner le système. Cette pratique entraînait une charge système bien plus lourde que le trafic humain », explique Potter. « En travaillant de concert avec les autres technologies que nous avons mises en œuvre, Cloudflare nous a permis de réduire ce problème à un niveau négligeable, du jour au lendemain. Nous avons ainsi pu diminuer nos coûts et nos frais administratifs, tout en rétablissant un environnement équitable pour les livreurs qui ne recouraient pas à ces techniques automatisées. »

Just Eat Takeaway a également rencontré un succès considérable en déployant la solution Cloudflare Bot Management pour sécuriser ses propriétés web contre le bourrage d'identifiants, l'extraction de contenu, l'accaparement de stock, l'analyse de vulnérabilités soutenue par IA et d'autres menaces émergentes. Grâce à une combinaison de méthodes incluant la prise d'empreintes numériques JA3 et JA4, l'apprentissage automatique (Machine Learning) et l'analyse comportementale, l'entreprise a atteint de nouveaux niveaux de protection contre les menaces, sans procédures de configuration complexes ni coûts de maintenance élevés.

« Notre ancien fournisseur n'était pas particulièrement efficace concernant l'atténuation des analyses de vulnérabilités ou des autres attaques basées sur des bots, notamment au regard de l'échelle permise par l'IA aujourd'hui », précise Potter. « Bien que la solution Cloudflare, plutôt facile à mettre en œuvre, semble moins complexe en apparence, les outils dont elle dispose sous le capot (comme ses fonctionnalités d'analyse approfondie et sa connexion à l'ensemble d'informations sur les menaces Cloudflare) nous protègent, même si nous ne savons pas exactement de quelle manière tout ça fonctionne. »

Réduire les frais opérationnels et la complexité des plateformes grâce à l'intégration Terraform et à l'automatisation de la sécurité sans intervention humaine

Selon Potter, le rétablissement de la disponibilité de Just Eat Takeaway grâce à Cloudflare a eu de profondes répercussions sur les résultats de l'entreprise.

« En protégeant notre disponibilité, Cloudflare préserve également notre rentabilité. C'est aussi simple que ça. Chaque panne que nous avons subie nous a coûté des millions de dollars. Cloudflare nous a aidés à mettre un terme à cette situation. »

Outre l'amélioration de sa disponibilité et le renforcement de sa stratégie de sécurité, la migration vers Cloudflare opérée par Just Eat Takeaway lui a également permis de simplifier la gestion de sa sécurité. Grâce à l'élimination des interventions manuelles et à l'adoption de flux de déploiement automatisés, l'entreprise a réduit sa complexité et ses coûts opérationnels, tout en améliorant sa vitesse, sa cohérence et sa flexibilité. L'intégration de Terraform au réseau Cloudflare facilite également une meilleure collaboration et un meilleur contrôle des versions, tout en faisant bénéficier l'entreprise de meilleures capacités de reprise après sinistre.

« La compatibilité de l'infrastructure en tant que code Cloudflare s'est vraiment révélée bénéfique pour nous », explique Potter. « Elle nous a permis d'étendre notre approche du déploiement de règles à l'ensemble de notre infrastructure, tout en nous proposant un pipeline CI/CD robuste, reproductible et versionné, qui nous assure la flexibilité nécessaire pour revenir rapidement à une version antérieure en cas de configuration incorrecte. »

Afin d'accroître encore les gains de l'entreprise, les solutions proposées par Cloudflare en matière de pare-feu WAF, de protection contre les attaques DDoS et de gestion des bots se comportent principalement comme des moyens de défense ne nécessitant aucune intervention humaine. Les techniciens de sécurité disposent ainsi de davantage de temps pour se concentrer sur de nouveaux défis stratégiques. Cloudflare a également allégé la charge de travail des équipes de sécurité de Just Eat Takeaway en simplifiant des tâches auparavant fastidieuses, comme le déploiement de règles, le réglage fin afin d'éliminer les faux positifs et la défense contre l'exploitation des vulnérabilités.

« Si nous devions encore réagir manuellement aux menaces, chaque incident DDoS nous demanderait plusieurs heures », déclare Potter. « Nous pouvons désormais utiliser ce temps à meilleur escient, comme développer notre SOC interne, par exemple. »

Un partenariat continu visant à améliorer l'observabilité de la plateforme et à optimiser l'expérience des développeurs grâce aux services d'automatisation et aux outils IA Cloudflare

Just Eat Takeaway s'est donné pour objectif de continuer à rationaliser ses opérations et d'extraire encore plus de valeur de la plateforme Cloudflare.

« Nous avons hâte de déployer le service Cloudflare Log Explorer », déclare Potter. « Le processus d'exportation des journaux vers un SIEM ou une plateforme d'observabilité se révèle très coûteux en raison des volumes concernés. La possibilité d'accéder nativement à nos données à l'aide de l'API Cloudflare et de les exposer à d'autres outils pourrait nous permettre de réaliser des économies considérables. »

Il perçoit également une opportunité croissante de tirer parti de l'IA et des outils d'automatisation Cloudflare afin d'améliorer l'efficacité des opérations pour les développeurs et les techniciens de Just Eat Takeaway.

« Je veux faire en sorte que notre équipe puisse gérer notre code et Cloudflare dans les meilleures conditions possibles », précise-t-il. « Les avancées en matière d'IA permettront d'assurer une expérience plus uniforme à nos techniciens, ainsi qu'une application plus cohérente de nos politiques. »

Potter entrevoit également un potentiel d'expansion continue de la relation qu'entretient l'entreprise avec Cloudflare, notamment en ce qui concerne les fonctionnalités de sécurité émergentes et l'alignement de la feuille de route.

« Notre partenariat fonctionne, car Cloudflare fait preuve de transparence », ajoute-t-il. « Nous pouvons parler aux personnes qui développent un produit donné. Cet accès nous offre une réelle influence sur la manière dont nous résolvons les problèmes et abordons l'avenir. »