Défi
Esure opère dans un secteur hautement réglementé où la protection des informations des clients est primordiale.
Esure n'avait pas de visibilité complète de son environnement multicloud complexe.
En raison d’un cycle de déploiement accéléré, il était plus difficile pour l’équipe d’esure d'assurer la surveillance de la sécurité.
Solution
esure peut facilement s'évaluer par rapport aux normes de conformité grâce aux cadres et rapports intégrés Wiz.
L’équipe de sécurité d’esure dispose d’une visibilité constante de l’ensemble de son environnement multicloud, avec une image claire des risques de tous les clouds.
esure peut prioriser les risques à l’aide de Wiz, ce qui permet une correction rapide. En outre, cela permet aussi aux développeurs de se concentrer sur les risques les plus critiques.
Passage au cloud et maintien de la sécurité
Innovateur sur le marché de l’assurance au Royaume-Uni, esure a été le pionnier de l’achat d’assurance auto et habitation en ligne. La sécurité a été à l’avant-garde d’une transformation numérique qui a permis à esure de continuer à perturber le marché et à proposer de nouveaux produits sur une plateforme axée sur le client. La stratégie de l’entreprise est d’être sécurisée dès la conception et d’intégrer la sécurité à chaque étape du développement.
En démantelant les technologies existantes et en passant au cloud, esure a créé de nouvelles opportunités, mais a également fait face à de nouveaux risques. L’équipe de sécurité de l’entreprise disposait d’une visibilité limitée sur son environnement multicloud et complexe et manquait d’une hiérarchisation claire des risques. La solution existante d’esure produisait également des alertes constantes et des faux positifs, ce qui rendait difficile l’identification de ce qui était le plus urgent. Cela signifiait que l’on perdait du temps à trier des alertes qui ne présentaient pas de risques réels.
Le plus grand changement entre un environnement sur site et un environnement cloud réside dans la quantité de vecteurs d’attaque que vous devez sécuriser.
Pour Kenichi Shibata, ingénieur DevSecOps chez esure, le grand problème est de savoir comment prioriser des centaines de milliers de vulnérabilités, puis construire des rapports dessus, afin que le dirigeant puisse voir le niveau de risque. « Dans un océan de vulnérabilités, lesquelles regardons-nous ? », demande Shibata.
Le cycle de vie du déploiement chez esure est également passé d’une fois par mois à une fois par semaine, et s’oriente vers une seule journée, ce qui crée un défi encore plus grand de maintenance de la sécurité. L’équipe devait s’assurer que ce déploiement rapide était pris en charge, sans compromettre la sécurité. Grâce à l’automatisation des bâtiments entre les phases de planification et de déploiement, esure a pu identifier les risques de sécurité à un stade précoce.
Avec un environnement vaste et complexe et une maturation continue dans le cloud, cela devenait de plus en plus une priorité. Wiz a été identifié comme le meilleur choix pour esure en raison de l’accent mis sur la priorisation des risques et des fonctionnalités centralisées de sa plate-forme CNAPP qui vont au-delà des outils CSPM traditionnels, notamment : DSPM, CIEM, l’analyse du chemin d’attaque et l’analyse des secrets dans les dépôts GitHub.
Une plus grande visibilité permet une remédiation plus rapide
esure utilise son propre tableau de bord consolidé d’indicateurs clés de risque dans Grafana, pour visualiser tous les risques sur l’ensemble de son parc cloud et fournir une vue d’ensemble de la gravité au niveau de la direction. Wiz a facilité la fusion avec les processus et les flux de travail existants utilisés par les développeurs d’esure, sans avoir besoin de s’adapter à de nouveaux outils.
En transférant les données de Wiz dans le tableau de bord Grafana, esure a été en mesure d’établir un « guichet unique de sécurité » qui comprend une gamme de points de données, ce qui facilite le tri des développeurs et la priorisation des mesures correctives prises par les dirigeants.
Nous avions besoin d’un outil pour nous donner une visibilité et mesurer les risques dans tous nos environnements cloud, et également pour traduire ce risque en priorité. C’est ce que nous avons constaté avec Wiz.
Cela a déjà contribué aux rapports internes puisque le Security Graph de Wiz facilite le partage des requêtes avec les dirigeants de l’entreprise. Lorsque des informations plus approfondies sont nécessaires, l’équipe de sécurité d’esure donne aux développeurs un accès en libre-service à Wiz pour obtenir un contexte complet sur les chemins d’attaque et les mesures correctives.
« Après la mise en œuvre de Wiz, nous avons été en mesure d’élargir la portée de toutes nos équipes et d’accroître notre visibilité sur l’ensemble de nos plateformes cloud », déclare Richard Frost, RSSI chez esure. “Cela nous a permis de réduire le temps pour remédier à certains des risques que nous 'avons identifiés.”
Grâce à cette visibilité accrue, esure élimine désormais de manière proactive les risques critiques dans son environnement et peut prendre des mesures pour réduire sa surface d’attaque dans le cloud. Par conséquent, les équipes sont beaucoup plus confiantes dans le fait que la possibilité de corriger les bonnes choses au bon moment. Et maintenant qu’ils n’ont plus à passer au crible des milliers d’alertes, la productivité a également augmenté.
La conformité est facile à suivre et à maintenir dans tous les environnements
Dans un secteur hautement réglementé comme celui de l’assurance, le maintien de la conformité est essentiel. Avant la mise en œuvre de Wiz, esure trouvait que les cadres de conformité étaient difficiles dans le cloud, car une grande partie de ses rapports de conformité étaient manuels.
esure utilise désormais les cadres de conformité intégrés et les benchmarks CIS de Wiz pour évaluer la conformité dans l’ensemble de son environnement et rendre facilement compte de leur état de conformité aux équipes d’audit. Grâce à l’évaluation continue et aux rapports automatisés générés par Wiz, l’entreprise peut rapidement voir comment elle est positionnée par rapport aux cadres de conformité pour chacun de ses différents comptes et abonnements.
Avant l’arrivée de Wiz, c'était un processus difficile et manuel de création de rapports en fonction des cadres de conformité dans le cloud. Disposer d’un outil comme Wiz permet à esure de voir très rapidement comment nous nous nous évaluons selon un cadre de conformité pour chacun de nos différents comptes et abonnements.
Les rapports de conformité sont désormais standardisés avec des rapports trimestriels générés et téléchargés via le portail de Wiz.
esure utilise également la gestion de la sécurité de la posture des données (DSPM) de Wiz pour obtenir une vision complète des informations sensibles de l’ensemble de ses plateformes cloud. L’entreprise apprécie également la capacité de Wiz à obtenir une vision complète de toutes les ressources cloud d’esure. « Par exemple, ajoute-t-il, avons-nous CrowdStrike sur toutes nos instances non éphémères ? À quoi ressemble notre logiciel de fin de vie ? Et la mise en place d’alertes. Toutes ces autres fonctionnalités sont vraiment utiles. »
Wiz donne aux équipes de sécurité la confiance nécessaire pour se projeter dans l’avenir
La gamme de fonctionnalités que Wiz fournit à esure sur une seule et unique plate-forme a permis d’atténuer les pressions liées à l’approvisionnement en cours et de concentrer l’attention uniquement sur les vulnérabilités. C’est vital pour l’équipe à l’heure où les cyberattaques se multiplient, y compris les menaces de cybers criminels opérant avec des ransomware.
L’équipe d’esure peut désormais comprendre en profondeur les tactiques de ces gangs, comprendre comment ils peuvent réussir à s’introduire dans des environnements sécurisés et quels contrôles pourraient être mis en œuvre pour prévenir les attaques. « Nous sommes plus tournés vers l’avenir plutôt que réactifs aux problèmes », explique Shibata. « Nous anticipons les violations, plutôt que de nous contenter d’y réagir. Cela nous donne beaucoup de confiance.
Travailler avec Wiz, en tant qu’équipe, est une solution très collaborative. Arriver à être opérationnel en quelques semaines c'était incroyable.
Jusqu’à présent, la solution de Wiz a été utilisée par les équipes d’opérations de sécurité et d’architecture d’esure, avec un exercice de « capture du drapeau » mené par Wiz pour soutenir le travail inter-équipes et stimuler l’adoption de la technologie Wiz dans l’ensemble de l’entreprise. L’étape suivante consiste à intégrer les équipes du centre d'opérations de sécurité (SOC) d’esure, avec un engagement global sur la sécurité, laissant l’entreprise libre de se développer et de développer de nouveaux produits.
« La prochaine étape de notre parcours en matière de sécurité consiste à nous améliorer de plus en plus et continuellement », déclare M. Frost. « Wiz joue un rôle fondamental dans ce parcours à travers notre cloud. »
Vous voulez savoir comment votre programme de sécurité cloud peut obtenir les mêmes résultats qu’esure ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
