Défi
Au fur et à mesure que l’entreprise grandissait, la quantité de données et le nombre d’alertes augmentaient également. L’entreprise était à la recherche d’une nouvelle solution offrant une visibilité complète de son environnement avec une forte hiérarchisation contextuelle des risques pour l’aider à évoluer et à rester efficace.
Fiverr souhaitait permettre à ses équipes de développement de s’approprier la résolution des problèmes et leur permettre d’agir rapidement sans sacrifier la sécurité.
Fiverr disposait de plusieurs normes et réglementations en matière de sécurité, et recherchait une solution qui permettrait de répondre plus efficacement aux incidents.
Solution
Fiverr a déployé Wiz pour obtenir une visibilité complète sur toutes les ressources cloud (IaaS, PaaS, SaaS), identifier et hiérarchiser les risques de sécurité et automatiser l’application des politiques de sécurité.
Fiverr donne la priorité aux problèmes liés à la corrélation des graphiques contextuels de Wiz, qui réduit considérablement le nombre de risques critiques.
Les rapports de conformité sont générés automatiquement avec la fonctionnalité de création de rapports de Wiz pour permettre de maintenir la conformité avec plusieurs normes et réglementations de sécurité.
Combler le fossé entre la sécurité et les développeurs
Idan Pinto, responsable de la sécurité chez Fiverr, savait qu’il avait besoin d’un outil avancé doté de nouvelles fonctionnalités et capacités pour faire face aux risques liés au cloud au fur et à mesure qu’ils évoluent.
« Notre ancien outil principal de gestion des risques cloud ne nous donnait pas la visibilité complète dont nous avions besoin pour toutes nos ressources cloud, explique Pinto. Il était difficile de l'utiliser pour en tirer les informations dont nous avions besoin, et il ne fournissait pas le contexte nécessaire pour évaluer correctement les risques et hiérarchiser les efforts de remédiation.. »
Fiverr avait également besoin d’une solution qui permette à ses équipes de développement de s’approprier la sécurité sans les ralentir.
Essayer de combler le fossé entre les équipes de développement qui veulent simplement aller vite et les besoins de notre équipe de sécurité pour protéger l’entreprise, cela a été un véritable défi. Il nous fallait un moyen de donner aux développeurs l’autonomie dont ils ont besoin tout en leur offrant la visibilité et le contrôle dont notre équipe de sécurité a besoin.
Fiverr profite également de la capacité de Wiz à cartographier les résultats selon les différentes normes de sécurité comme ISO27001, SOC2, et PCI DSS, et les présente dans un rapport.
« Le fait de voir les risques et les résultats associés aux différentes certifications de Wiz m’aide vraiment à me concentrer et à hiérarchiser mon travail », explique Pinto.
Hiérarchiser les risques les plus importants
Pinto s’est tourné vers Wiz pour obtenir une solution qui offrirait non seulement la visibilité et le contrôle nécessaires pour gérer les risques de sécurité dans l’environnement AWS de Fiverr, mais aussi aider à hiérarchiser les risques en fonction du contexte et de l’impact commercial.
« Au début, nous voulions nous concentrer sur la gestion des identités avec des événements cloud pour détecter les mouvements latéraux dans notre infrastructure cloud. Nous avons facilement pu connecter Wiz, grâce à l’équipe d’assistance et de la documentation. »
Fiverr voit ses premiers résultats en quelques heures
« Nos premiers problèmes sont apparus en quelques heures. Certains étaient vraiment intéressants, et nous ne les avions jamais vus auparavant. Ils étaient liés à la combinaison de la gestion de l’identité et de l’exposition externe, explique Pinto. Après cela, nous avons commencé à connecter de plus en plus de comptes et nous avons maintenant une visibilité totale sur notre infrastructure cloud et la possibilité supplémentaire de voir tous les événements de notre environnement. »
Avec Wiz Cloud Detection and Response, Pinto a enfin pu donner aux développeurs les outils dont ils avaient besoin pour agir avec plus d’autonomie.
Nous utilisons Wiz pour surveiller et nous alerter des changements dans notre environnement AWS qui pourraient constituer des risques pour la sécurité. Nous attribuons tous les problèmes aux personnes qui effectuent le changement et donnons à nos équipes de développement la possibilité de répondre elles-mêmes à leurs besoins tout en respectant nos politiques de sécurité internes.
Pinto et son équipe peuvent maintenant gérer rapidement les risques grâce à Wiz.
« Nous avons eu quelques scénarios où nous avons pu identifier les problèmes à un stade précoce et éviter qu’ils ne se transforment en incidents graves. » Avec Wiz, Pinto a pu non seulement rationaliser les mesures correctives pour satisfaire aux normes de sécurité, mais aussi cartographier automatiquement les risques dans les rapports de conformité. « Cela nous a vraiment aidé pour garantir la conformité avec de nombreuses normes et réglementations de sécurité. »
Remédiation rapide avec un minimum de ressources
Depuis le déploiement de Wiz, Fiverr a constaté une réduction significative de ses risques globaux de sécurité dans le cloud et a découvert des vulnérabilités qui n’avaient pas été détectées par la solution précédente. L’équipe a également pu répondre aux incidents plus rapidement et plus efficacement, ce qui lui a permis d’économiser du temps et des ressources.
« L'automatisation fournie par Wiz et les intégrations disponibles avec nos systèmes de messagerie ont permis de résoudre les problèmes en temps voulu et de collaborer avec nos équipes DevOps et R&D, se réjouit Pinto. Grâce à la hiérarchisation fournie par Wiz, nous pouvons nous concentrer sur les problèmes critiques réels dans notre environnement. »
