DéfiLa plateforme d’intégration Digibee a connu une croissance rapide, doublant le nombre de clients en seulement six mois. Mais au cours de cette période de croissance, Digibee a adopté des outils de sécurité déconnectés qui ont rendu difficile l’obtention d’une visibilité totale.
L’équipe s’est efforcée d’identifier et de remédier à tous les risques dans l’environnement cloud tentaculaire de Digibee, qui comprend des milliers de machines virtuelles et de clusters Kubernetes.
Au fur et à mesure que Digibee se développait, elle devait maintenir ses exigences de certification de conformité, en particulier en ce qui concerne la sécurité des données des cartes de paiement PCI DSS et le SOC Type 1 & 2 Validation des contrôles de cybersécurité, pour répondre aux attentes des clients et des auditeurs.
SolutionDigibee a unifié son approche de la sécurité et consolidé sa visibilité multi-cloud avec Wiz pour sécuriser son environnement en pleine croissance, malgré une équipe réduite.
Digibee identifie rapidement et facilement les risques à l’aide de la solution sans agent de Wiz, même les clusters Kubernetes et les machines virtuelles individuels, afin de mieux surveiller l’ensemble de son environnement cloud.
Digibee produit automatiquement des rapports qui répondent aux exigences de certification de conformité des clients et des auditeurs, en particulier en ce qui concerne la sécurité des données des cartes de paiement et la validation des contrôles de cybersécurité.
Digibee, une entreprise à forte croissance, offre un changement de paradigme dans l’intégration des systèmes Digibee (en anglais seulement) est un fournisseur de plateforme d’intégration en tant que service (iPaaS) né dans le cloud et low-code. Conçu pour les développeurs, il met à l’échelle les intégrations, optimise les ressources des développeurs et aide les responsables informatiques à fournir des produits et services puissants.
L’entreprise, fondée en 2017 et dont le siège social est situé à Weston, en Floride, réduit considérablement la complexité de l’intégration informatique, permettant aux entreprises de transformer numériquement leurs systèmes existants jusqu’à dix fois plus rapidement que les autres solutions.
Le besoin d’intégrations se déclenche autour de 60 % des carnets de commandes informatiques mondiaux. Digibee permet à ses clients d’éliminer rapidement ces arriérés, d’adopter une architecture à l’épreuve du temps, d’intégrer et d’innover rapidement, le tout sans avoir besoin d’une seule ligne de code ou d’un investissement dans de nouveaux systèmes.
Digibee a doublé son portefeuille de clients en seulement six mois et est désormais un outil d’intégration essentiel pour plus de 250 entreprises clientes, dont Itau, Johnson Brothers et Payless. L’entreprise a dû évoluer rapidement pour répondre à cette demande, adopter davantage de services cloud et embaucher plus d’employés. Cette expansion rapide signifiait que Digibee devait faire passer sa sécurité cloud au niveau supérieur.
Construire une entreprise iPaaS leader sur le marché en plein vol Pendant cinq années de forte croissance, la sécurité cloud de Digibee a été gérée par de multiples parties prenantes. Au cours de cette période, l’entreprise a créé un environnement cloud vaste et complexe pour répondre aux besoins d’intégration de ses clients. Cette expansion comprenait des technologies cloud natives telles que les clusters Kubernetes et les machines virtuelles, mais avec un niveau croissant de complexité du cloud, l’entreprise avait besoin d’une approche unifiée de la sécurité.
Digibee utilisait Google Security Center comme principal outil de sécurité, mais comme elle adoptait une approche multi-cloud de son infrastructure, les équipes ne disposaient pas d’une vue unique de l’ensemble de leur environnement cloud. Il était donc difficile d’identifier et d’atténuer tous les risques auxquels Digibee était confrontée.
Nous connaissions une croissance rapide, mais nous ne disposions pas de la visibilité dont nous avions besoin sur nos systèmes informatiques. Nous avons également eu des clients qui nous ont demandé des certifications de sécurité pour prouver que nos systèmes étaient sûrs, fiables et avaient les bons niveaux de disponibilité. En gros, nous construisions l’avion pendant qu’il était en vol.
Au fur et à mesure que l’entreprise grandissait, de plus en plus de clients, d’investisseurs et d’auditeurs demandaient des preuves que l’environnement cloud de Digibee répondait à leurs normes de sécurité.
« Nous avions plus de 1 000 machines virtuelles sous gestion, ce qui représente un environnement assez vaste, mais nous n’avions pas la visibilité dont nous avions besoin. Cela a fait des contrôles de due diligence un défi majeur », explique Tiago Bernardinelli, responsable de l’ingénierie cloud & Opérations mondiales chez Digibee.
Pour poursuivre sa croissance, l’entreprise devait fournir des certifications de sécurité, telles que la sécurité des données des cartes de paiement PCI DSS et le SOC de type 1 & 2 Validation des contrôles de cybersécurité, rapidement et facilement. L’entreprise devait également y parvenir sans fonction de sécurité cloud dédiée, c’est pourquoi l’entreprise s’est mise à la recherche d’un partenaire externe de confiance dans son parcours de sécurité.
Digibee accélère son parcours vers la sécurité du cloudDigibee souhaitait une visibilité complète sur ses environnements cloud grâce à une plateforme de sécurité cloud unifiée et rationalisée. L’entreprise a choisi Wiz pour bénéficier d’une visibilité complète sur le cloud dans un seul tableau de bord et pour détecter et corriger rapidement les erreurs de configuration.
La consolidation de la sécurité de son cloud aide également les équipes à localiser les informations d’identification personnelle (PII) dans l’environnement cloud de Digibee et à s’assurer qu’il est entièrement conforme en fonction des besoins de ses clients et de ses auditeurs. Il peut également générer plus efficacement des rapports de conformité qui peuvent être facilement partagés avec les parties prenantes internes et externes.
La société a également été en mesure de minimiser les vulnérabilités de sécurité en analysant tout le nouveau code logiciel qui passe par le pipeline d’intégration et de déploiement continus (CI/CD) de Digibee. En surveillant constamment le nouveau code, l’entreprise est plus sécurisée et peut économiser sur les coûts d’exploitation en identifiant et en désactivant les ressources cloud inutilisées découvertes lors de l’analyse.
La satisfaction de ces exigences a permis à Digibee de mieux comprendre comment ses ressources se connectent, créant ainsi une source unique de vérité pour toutes ses informations de sécurité.
La première chose qui m’a impressionné chez Wiz, c’est la façon dont il a généré un inventaire de notre environnement cloud. D’une manière très simple, cela m’a montré comment nos applications se connectent, comment elles interagissent les unes avec les autres et comment elles sont ouvertes sur le monde.
Digibee était également à la recherche d’une solution facile à déployer, capable d’analyser et d’inventorier son environnement cloud sans avoir besoin de logiciels intrusifs ou d’appels de données coûteux, tout en contrôlant les coûts alors que l’entreprise poursuivait sa trajectoire de forte croissance.
« La possibilité de détecter les problèmes sans utiliser d’agents ou d’autres logiciels intrusifs au sein de notre environnement était cruciale, notamment parce que les agents ont un impact sur les performances », explique M. Bernardinelli. « Il y a également des implications financières lorsque vous évoluez dans le cloud. Il était essentiel de trouver une solution comme Wiz, non intrusive mais capable de recueillir les informations dont nous avions besoin.
Identifier les vulnérabilités historiques et atteindre un pipeline « zéro critique »Dès que l’équipe d’ingénieurs de Digibee a commencé à analyser les clusters Kubernetes de l’entreprise, elle a identifié des vulnérabilités critiques en matière de sécurité du cloud. Par exemple, au moins une recherche élastique redondante a été découverte, ainsi que d’autres anciens logiciels. Digibee a également découvert des problèmes critiques de stockage de données PCI qui menaçaient la conformité. À l’aide de Wiz, ces vulnérabilités, et bien d’autres similaires, ont été immédiatement corrigées.
Donner à chacun l’accès à une source unique de vérité s’est avéré être un tournant majeur dans le parcours de Digibee en matière de sécurité du cloud. Grâce à l’accès universel, les ingénieurs de Digibee ont accès à une vue hiérarchisée des risques, ce qui leur permet de voir, de comprendre et de remédier eux-mêmes aux risques. Digibee a opérationnalisé cette vision unique de la vérité à l’aide d’un cycle de développement de deux semaines. Les ingénieurs se réunissent une fois tous les quinze jours pour discuter des risques découverts par Wiz, puis créer des objectifs et des résultats clés sur la base de ces résultats.
À la suite de la mise en œuvre de ce nouveau modèle d’exploitation pour remédier efficacement aux risques et éradiquer les vulnérabilités de sécurité dès le début du cycle de développement logiciel, Digibee a réussi à obtenir le statut « zéro critique ».
Wiz est comme mon bras droit. Il met les données en contexte et aide nos ingénieurs à hiérarchiser et à comprendre ce qu’ils doivent faire.
Le processus de conformité a également été rationalisé, Digibee utilisant Wiz pour renouveler efficacement toutes les certifications de conformité importantes.
L’entreprise a amélioré sa posture de sécurité du cloud à tous les niveaux. Une visibilité totale a permis à Digibee d’établir un régime d’objectifs et de résultats clés (OKR), aidant les équipes à hiérarchiser les vulnérabilités clés et à modifier considérablement l’aiguille de la sécurité du cloud dans le processus.
« Nous avons désormais pour objectif de corriger toutes les vulnérabilités critiques en cinq jours et les vulnérabilités élevées en 13 jours », explique M. Bernardinelli. « Nos ingénieurs peuvent maintenant comprendre les problèmes, les hiérarchiser et ils connaissent l’exercice de remédiation. La clé, c’est que tous les membres de mon équipe ont accès à Wiz et s’ils voient un gain rapide, ils n’ont même pas besoin de demander, ils n’ont qu’à s’en occuper.
Pénétrer de nouveaux marchés de manière sûre et durable Digibee continue de croître, ajoutant de nouveaux clients et augmentant ses effectifs de sécurité aux États-Unis, un marché hautement concurrentiel et plus réglementé que celui qu’elle a connu auparavant. Pour se développer, l’entreprise prévoit de continuer à s’appuyer sur son programme de sécurité du cloud et à démontrer la sécurité de son environnement aux clients et aux auditeurs.