Défi
Les offres de Bridgewater s’appuient sur plusieurs services et fournisseurs cloud qui ont chacun leurs propres architectures et approches, ce qui rend difficile la gestion de la sécurité, de la gouvernance et de l’inventaire de l’ensemble de son environnement.
Auparavant, Bridgewater compilait manuellement les rapports d’inventaire et de sécurité, mais au fur et à mesure que l’entreprise acquérait davantage de ressources cloud, la tâche pesait de plus en plus lourdement sur l’équipe.
Bridgewater avait besoin d’une solution qui l’aiderait à offrir une visibilité sur l’ensemble de son environnement hybride et multicloud afin de maintenir le niveau de sécurité dont il a besoin.
Solution
Wiz aide Bridgewater à contextualiser les points de données autour des ressources et des contrôles cloud afin de comprendre comment ils interagissent les uns avec les autres, dressant ainsi un tableau plus clair de l’ensemble de son environnement hybride et multicloud.
Wiz Security Graph libère les équipes d’infrastructure critique et de sécurité de Bridgewater du travail manuel de compilation des rapports de sécurité, ce qui leur permet de se concentrer sur des tâches plus stratégiques et plus percutantes.
Wiz offre une large visibilité, permettant ainsi d'apporter une réponse rapide et une hiérarchisation des vulnérabilités (cf. Log4Shell).
Innover tout en maintenant la sécurité critique
Animé par le désir de comprendre les liens fondamentaux et intemporels qui régissent le fonctionnement des marchés et des économies mondiales, Bridgewater Associates est une société de gestion d’actifs de premier plan qui gère environ 150 milliards de dollars pour le compte d’investisseurs institutionnels du monde entier. L’entreprise utilise la technologie pour générer, valider et exécuter systématiquement ses points de vue sur les marchés. Au fur et à mesure que l'entreprise innove, son infrastructure technique devient de plus en plus complexe, ce qui nécessite des avancées dans son programme de sécurité critique pour répondre à cette complexité.
« En tant qu’investisseurs macroéconomiques mondiaux, nous devons traduire nos connaissances en stratégies d’investissement », déclare Igor Tsyganskiy, président & Directeur technique chez Bridgewater Associates. « Chaque jour, nous pouvons exécuter des milliards de dollars de transactions sur des centaines de marchés à travers le monde, c’est pourquoi la technologie et la sécurité sont d’une importance cruciale pour nous. »
Améliorer l’efficacité d’une infrastructure multicloud
Ayant travaillé avec AWS et Azure pendant de nombreuses années, les systèmes critiques de Bridgewater sont aujourd’hui tous dans le cloud. L'entreprise avait besoin de se transformer pour suivre le rythme d'un paysage numérique qui évolue rapidement et dans lequel le cloud se transforme de telle manière que des risques peuvent survenir si ces changements ne sont pas pris en compte.
La sécurité est le principe fondamental de la façon dont nous développons des logiciels, mais s’occuper de la cybersécurité, c’est comme skier sur de la glace brisée au-dessus d’une rivière : la rivière coule, la glace bouge et il faut patiner. Vous ne savez pas ce que vous devrez faire ensuite. Vous savez seulement qu’il faudra faire quelque chose, sinon vous tomberez à l’eau.
Traditionnellement, la gestion de toutes ces ressources nécessitait un effort manuel important. Chaque service a des configurations différentes, et le moindre changement peut faire apparaître de nouvelles vulnérabilités. Les équipes de Bridgewater chargées de l'infrastructure critique et de la sécurité passaient des heures à rassembler manuellement les rapports d'inventaire et de sécurité. Leur objectif était de créer un graphique de sécurité interne afin de suivre les actifs qu’ils souhaitaient protéger, ainsi que les relations entre ces actifs et les types de rôles. Mais ces efforts chronophages ne permettaient toujours pas de suivre l'évolution constante du cloud et de fournir la vision complète dont Bridgewater avait besoin pour maintenir le niveau de sécurité requis.
Sélectionner les bons outiles pour combiner rapidité et sécurité
Dans sa recherche de solutions, Bridgewater ne voulait pas de produits de sécurité sur mesure qui ne pouvaient traiter qu'un seul aspect du problème. L’entreprise avait 3 critères supplémentaires lors de l’évaluation d’un outil de sécurité :
Innovation continue
Le degré d’exhaustivité de l’outil, en termes de prise en compte des ressources cloud, des données, du plan de données, de l’identité, du plan de contrôle et des relations entre eux
Facilité de déploiement sans avoir besoin d’agents ou d’un large cycle de développement avec des mises à niveau continues
Impressionnée par la capacité de Wiz à être déployé en quelques heures, même pour les architectures les plus techniques, l'équipe a choisi Wiz comme partenaire de confiance pour sa sécurité. En fait, « Wiz est arrivé en tête de tous ces critères lors de notre évaluation », explique Rob Bruce, responsable des infrastructures essentielles chez Bridgewater. « Nous avons déployé Wiz via des actions de plan de contrôle sur 200 comptes très facilement et en quelques heures, Wiz nous expliquait exactement ce qui se passait dans notre environnement. Nous n'avions jamais vu cela en termes de déploiement rapide, sans problème et sans maintenance ultérieure. »
Depuis l'engagement jusqu'au retour sur investissement, Wiz s'est imposé comme une évidence. Nous n’avions même pas payé et nous avions déjà des résultats. Nulle part ailleurs ce processus n’a été aussi rapide.
Apporter de la visibilité à un environnement complexe en toute simplicité
Bridgewater a rapidement compris la valeur de Wiz lors de l'incident Log4Shell, lorsque l’entreprise a utilisé Wiz pour visualiser, hiérarchiser et traiter rapidement les instances à risque de Log4j dont elle ignorait l’existence. « Lorsque Log4Shell a commencé à se développer, nous voulions connaître l’étendue de notre exposition. En quelques jours, Wiz a constaté que c’était 100 fois plus que ce que nous pensions au départ », se souvient Tsyganskiy.
Tout cela a été possible parce que Wiz scanne chaque couche des environnements cloud de Bridgewater pour fournir une visibilité complète sur chaque technologie exécutée dans son cloud sans angles morts. L’analyse du registre de conteneurs de Wiz s’est avérée importante pour Bridgewater, compte tenu de l’infrastructure technologique complexe qu’elle protège : les ressources cloud se trouvent à la fois sur AWS et Azure, et les conteneurs AKS et EKS gérés avec Kubernetes.
Le cas de Log4J a mis en évidence le caractère remarquable de Wiz : il existe de nombreux outils capables d'indiquer où se trouve Log4J, mais personne d'autre n'a réussi à préciser ce qui importait et ce qui n'importait pas dans ce cas de figure.
De plus, Bridgewater utilise le Wiz Security Graph pour contextualiser les points de données autour des ressources et des contrôles cloud. « Wiz est la seule entreprise qui adopte cette approche consistant à rassembler tous les points de données pertinents de l'inventaire pour créer un graphique de sécurité avec des avec des données analytiques », explique Bruce. Il en résulte un graphique de sécurité qui montre à Bridgewater les interconnexions entre les technologies fonctionnant dans son environnement multicloud, le tout à partir d'une console unique.
« Les membres de l’équipe qui avaient l’habitude de rassembler manuellement les rapports de sécurité sont désormais libérés de cette tâche pour se concentrer sur des tâches plus efficaces et plus utiles », ajoute Tsyganskiy.
Améliorer la sécurité au sein de toute l'entreprise
Bridgewater répartit la sécurité dans l’ensemble de l’organisation en créant des cadres personnalisés tels que des benchmarks CIS pour les équipes de développement. « Wiz nous permet d'envoyer rapidement des résultats pertinents à ceux qui peuvent agir en conséquence, explique Bruce. Nous avons déployé nos frameworks personnalisés en quelques semaines et avons immédiatement commencé à en voir l’intérêt pour nos problèmes. »
Les développeurs n’ont pas tardé à adopter Wiz, presque toutes les équipes de développement critiques de l’entreprise ayant adopté Wiz en 30 jours, et les équipes ont immédiatement gagné en autonomie pour la résolution des problèmes. Bridgewater a également intégré Wiz à Jira pour automatiser son système de ticket, que les développeurs passent ensuite en revue pendant leurs sprints pour remédier aux risques de manière efficace et dans le cadre de leurs flux de travail existants.
Depuis l’adoption de Wiz, les équipes de développement peuvent désormais maintenir et améliorer en permanence la sécurité de leurs produits, car les membres de l’équipe voient désormais des choses qu’ils ne voyaient pas auparavant : de nouveaux chemins d’exposition, des combinaisons toxiques, la façon dont tous les services cloud et conteneurs sont configurés et comment le moindre changement peut avoir un impact sur l’ensemble du système.
Continuer à assurer un environnement en constante évolution
Par la suite, Bridgewater veut optimiser son utilisation de la gestion de l'inventaire Wiz. « Il y a un énorme potentiel pour la gestion de l'inventaire à l’aide de Wiz. Nous comprendrons mieux où se trouvent nos machines, si elles répondent à nos normes BCP et si elles sont conformes à nos bonnes pratiques », explique Bruce.
Dans sa quête d’une sécurité unifiée dans tous ses environnements cloud, Bridgewater est ravi d’étendre Wiz à ses environnements VMware hybrides et sur site. Wiz permet d'améliorer la visibilité et de réduire les risques dans leur cloud hybride grâce à une plateforme unique, et l'équipe a hâte de poursuivre le déploiement de cette solution. Comme l’explique Tsyganskiy, « il n’y a pas de cloud privé ou de cloud public, il n’y a que le cloud. Nous sommes dans AWS et Azure et nous avons des racks VMware qui seront toujours là. Si notre environnement VMware n’est pas sécurisé, nos clouds publics ne le sont pas, et inversement. »
Avec Wiz, notre équipe de sécurité cloud obtient une vue unifiée de notre posture de sécurité et sait ce que nous devons couvrir dans l’ensemble de notre environnement interconnecté.
De plus, l’entreprise se penche sur Wiz Cloud Detection and Response (CDR) pour mieux gérer les événements cloud, avec le contexte, au fur et à mesure qu’ils se déroulent. « Wiz CDR nous permet non seulement de voir où se trouve une menace, mais aussi de comprendre à quel point nous devrions nous en inquiéter – cette fonctionnalité est une question de hiérarchisation efficace. »
Au-delà de la cybersécurité, l’entreprise est engagée dans une recherche de nouvelle génération qui nécessite une évolutivité. « Notre recherche réconcilie ce qui se passe dans les micro-environnements, comme une entreprise, avec ce qui se passe à l’échelle mondiale », explique Tsyganskiy. L’objectif est de permettre à nos investisseurs de comprendre ce qui se passe à un niveau que nous n’avons jamais vu auparavant afin d’améliorer leur productivité. La mise en œuvre de ce projet pourrait multiplier les effets sur l'environnement de Bridgewater. Avec Wiz dans son arsenal, Bridgewater sait qu’il peut faire face à tous les changements futurs.
« Nos ambitions nous amènent vers un tout nouveau paysage de la cybersécurité. Il est difficile de dire où le voyage nous mènera, mais je sais qu’il sera difficile, stimulant, intéressant et excitant », conclut Tsyganskiy.
