Défi
Avec une présence mondiale dans 120 pays et un historique de croissance grâce à l'environnement cloud M&A, Aon est devenu incroyablement complexe et difficile à sécuriser.
L’entreprise ne disposait pas d’une vision unique et en temps réel de ses multiples opérations cloud et s’appuyait sur une suite de 10 outils pour identifier et remédier aux risques liés au cloud.
L''activité critique, y compris la remédiation des risques, les rapports de conformité et l'intégration M&A impliquaient des processus manuels chronophages, coûteux et sujets aux erreurs.
Solution
Aon bénéficie désormais d’une vision granulaire unique et en temps réel de ses actifs cloud dans le monde entier, ainsi que de leurs capacités et vulnérabilités.
Les actifs cloud mondiaux de l’entreprise sont automatiquement analysés, ce qui génère des recommandations de remédiation des risques. Dans de nombreux cas, les développeurs peuvent résoudre eux-mêmes les risques.
Des rapports de conformité peuvent également être générés automatiquement, tandis qu’Aon évalue la posture de sécurité des entreprises impliquées dans l'activité M&U, avant et après la signature d’un accord.
Recherche de solutions pour un environnement cloud hautement distribué
Aon est une société mondiale de services professionnels, présente dans plus de 120 pays et employant environ 50 000 personnes dans le monde. Basée à Londres, son activité principale comprend la gestion des risques, le courtage d’assurance, le courtage de réassurance et les solutions de conseil en capital humain.
Aon exploite des données et des analyses exclusives pour réduire la volatilité et obtenir les meilleurs résultats possibles pour ses clients. Son approche globale de la technologie et de la sécurité garantit qu’elle dispose des meilleurs outils et compétences sur toutes les plates-formes cloud pour permettre le développement, la croissance et la gestion sécurisée des risques.
Les plus grands défis auxquels Aon a été confrontée avant son partenariat avec Wiz étaient liés à la structure organisationnelle complexe de l’entreprise. Depuis de nombreuses années, Aon s’est développée par le biais de l'activité de fusions et d’acquisitions (M&A). Le résultat est une entreprise hautement distribuée soutenue par un paysage cloud alambiqué (couvrant AWS, Azure et Google Cloud).
Nous avions des bureaux et équipes de développement dans plus de 100 pays, chacun ayant ses propres exigences régionales, ses propres exigences en matière de clientèle, ses propres technologies et même différentes langues à utiliser.
Shivendra Singh, responsable principal, sécurité du Cloud et des applications chez Aon, explique que son équipe avait besoin de pas moins de 10 outils de sécurité pour gérer la complexité du cloud. Il fallait donc une grande équipe, un ensemble de compétences solides à maintenir, de nombreuses conversations internes et une coordination considérable des parties prenantes pour faciliter les opérations quotidiennes.
Les processus manuels compromettent considérablement la remédiation des risques
Dans ces circonstances, la correction des risques liés au cloud s’est avérée incroyablement difficile, longue et coûteuse. L’équipe de M. Singh a dû extraire manuellement les résultats de sa suite d’outils, exécuter plusieurs flux de remédiation, normaliser manuellement les données, déterminer le contexte de chaque vulnérabilité individuelle, identifier les faux positifs et dresser un tableau clair de chaque risque.
Pour rendre les choses encore plus difficiles, les équipes de sécurité d’Aon ne pouvaient pas analyser manuellement leurs environnements cloud. Au lieu de cela, ils devaient s’appuyer sur DevOps pour les avertir chaque fois qu’un nouveau code était publié. Cette méthode d’identification des risques et d’assainissement peut prendre des jours.
« Les processus étaient ponctuels, et l’équipe manquait souvent des éléments du point de vue de la découverte des actifs, comme des erreurs de configuration », explique Michelle Pieszko, vice-présidente des opérations de cybersécurité d’Aon.
Lorsqu’il a fallu satisfaire les exigences de conformité cloud d’Aon, les équipes de sécurité ont dû mapper manuellement les comptes cloud de l’entreprise et modifier la documentation fournie par le fournisseur pour créer des rapports de conformité.
« Ce processus n’impliquait pas de données en temps réel », explique M. Pieszko, « de sorte que nos exercices de conformité étaient généralement obsolètes presque aussitôt qu’ils étaient terminés. »
La complexité et les processus manuels freinaient également la principale méthode de croissance d’Aon, à savoir l'activité M&A. Dans certains cas, il a fallu des années pour intégrer pleinement de nouveaux secteurs d’activité.
La difficulté de suivre le rythme d’un pipeline de développement qui s’accélère rapidement
Pendant ce temps, la migration vers le cloud accélérait le pipeline de développement de code d’Aon, ainsi les équipes de sécurité avait du mal à suivre le rythme. L’entreprise avait désespérément besoin d’adopter une posture de sécurité proactive, avec des mesures de sécurité automatisées intégrées dans le pipeline de développement.
Le statu quo n’était pas viable et encore moins évolutif. La complexité du cloud distribué d’Aon avait considérablement augmenté les risques de sécurité et de conformité, et la situation devait changer.
L’entreprise avait besoin d’une solution miracle, capable de fournir une vue unique et en temps réel sur l’ensemble de son parc cloud. La solution devait identifier et corriger les vulnérabilités du cloud, automatiser les processus manuels et gérer des composants tels que l’identité et accès aux systèmes.
Pour Pieszko, le déclic est survenu au moment où elle a vu Wiz en action.
Lors de cette première démo de Wiz, je me souviens avoir contacté mon équipe et lui avoir dit : « Si Wiz fait la moitié des choses que je suis en train de voir, nous en avons absolument besoin ! » C’était le premier outil que j’aie jamais vu capable de nous donner une visibilité sur l’ensemble de nos environnements cloud.
Grâce à ses paramètres prêts à l’emploi, Wiz a non seulement donné aux équipes de sécurité d’Aon des informations granulaires immédiates à l’échelle de l’entreprise, mais il a également rapproché DevOps et la sécurité en fournissant un langage commun autour des capacités et vulnérabilités des actifs individuels. Aon a également découvert que Wiz est totalement sans agents, ne nécessite aucun temps d’arrêt des systèmes et n’a aucun impact sur les performances opérationnelles.
La rapidité de rentabilisation de la plateforme a changé la donne pour Aon, permettant à ses équipes de sécurité d’être proactives en matière de remédiation des risques, en intégrant rapidement la sécurité dès la conception dans son pipeline de production de code DevOps.
Une plus grande collaboration grâce à une vision unique de la vérité
« La principale fonctionnalité qui m’a le plus frappé », explique M. Pieszko, « c’est le fait que nous pouvions connecter nos équipes de sécurité et technologie à la même console et examiner le même ensemble de données, ce qui nous donnait la preuve irréfutable qu’une détection critique avait été effectuée. »
Auparavant, il y avait beaucoup de faux positifs, de sorte que l’équipe de Pieszko devait téléphoner aux propriétaires d’applications pour discuter du contexte de chaque incident.
« Wiz élimine essentiellement ces négociations et accélère les mesures correctives », dit-elle. « Le Security Graph de Wiz génère automatiquement des informations clés telles que le chemin d’attaque et la valeur des actifs. Ainsi, quel que soit le contexte, nous pouvons désormais nous concentrer sur le problème et prendre des décisions de remédiation critiques sur la base des données en temps réel fournies par Wiz.
Cette approche automatisée signifie que les équipes technologiques d’Aon peuvent désormais remédier elles-mêmes aux risques dans de nombreux scénarios. Ils peuvent voir le risque, comprendre pourquoi il est critique, puis s’auto-corriger, en suivant une série d’étapes recommandées générées par la plateforme. Les équipes technologiques n’ont même pas besoin de se connecter à Wiz : elles peuvent visualiser les problèmes via des systèmes de tickets tels que Jira et ServiceNow. Grâce à ce nouveau processus d’assainissement, Aon a réduit le temps nécessaire pour remédier aux risques dans ses environnements de plusieurs jours à quelques heures.
Joe Martinez, directeur de la sécurité d’Aon, affirme que la capacité évolutive de Wiz et son délai de rentabilisation exceptionnel le distinguent de la concurrence.
« Wiz nous a offert rapidement de la visibilité, ce qui nous a aidés à comprendre le paysage du cloud. Cela nous a vraiment ouvert les yeux en nous donnant une idée de la charge de travail, de l’activité et du nombre d’API réellement utilisées dans nos environnements cloud », explique-t-il.
Contrairement à de nombreuses autres solutions, Wiz est capable de s’adapter au niveau de l’entreprise. La plupart des autres solutions de sécurité prennent des mois, voire un an, pour rentabiliser réellement votre investissement. En revanche, grâce à Wiz, nous avons pu y parvenir en quelques semaines, ce qui est presque du jamais vu dans notre secteur.
Pieszko remarque que Wiz s’est avéré la première ligne de défense d’Aon lorsque des vulnérabilités OpenSSL mondiales ont été identifiées à la fin de 2022. À sa grande satisfaction, la plateforme a rapidement identifié chaque cas de vulnérabilité OpenSSL dans l’ensemble du parc cloud d’Aon et a immédiatement recommandé des mesures correctives.
Automatiser les tâches manuelles et émanciper les équipes de sécurité et de conformité
La collecte manuelle des documents de conformité des fournisseurs appartient également au passé. Avec plus de 100 cadres de conformité intégrés, Wiz analyse automatiquement l’environnement cloud d’Aon, cartographiant les meilleures pratiques et les cadres réglementaires sur les nombreux comptes cloud de l’entreprise, révélant les lacunes en matière de conformité et recommandant et automatisant la correction des risques réglementaires.
« Nous avons éliminé et automatisé une grande partie de ce travail de conformité, grâce à Wiz », explique M. Pieszko. « Désormais, nous nous connectons simplement à la console et nous recevons automatiquement les données de cartographie et d’évaluation des contrôles. Il ne reste plus qu’à l’équipe de s’occuper de la partie remédiation du cycle. Ce qui prenait des heures ne prend plus que quelques minutes. »
Un déploiement rapide et transparent a également transformé l’implication de l’équipe de sécurité dans l'activité M&A. Aon peut désormais déployer Wiz dans l’environnement cloud d’une acquisition potentielle avant qu’une transaction ne soit conclue, en générant des données immédiates et fiables sur la posture de sécurité de l’acquisition et en signalant toute action corrective potentiellement nécessaire.
« Nous n’avons plus besoin de partager des questionnaires et feuilles de calcul avec les parties prenantes », explique M. Martinez. « Wiz nous permet de nous intégrer très rapidement, ce qui nous donne une compréhension vraiment transparente de la posture de risque d’une acquisition potentielle. »
Aon a rapidement et de manière transparente transformé ses opérations de gestion des risques liés au cloud à l’aide de Wiz, en éliminant les processus manuels et la complexité, tout en faisant d'une structure de sécurité rendue proactive dès sa conception la norme.
« Le parcours d’Aon vers le cloud ne serait pas aussi fructueux si nous n'avions pas Wiz », conclut Martinez.
Vous voulez savoir comment votre programme de sécurité cloud peut obtenir les mêmes résultats qu’Aon ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
