Défi
Les équipes de sécurité et DevOps de Fiverr ont eu du mal à collaborer efficacement sur les objectifs de sécurité.
Fiverr savait qu’elle devait mettre en place des workflows de sécurité qui soutiennent le travail de l’entreprise plutôt que de le perturber.
Fiverr avait besoin de créer un langage commun pour que l’équipe de sécurité puisse rendre compte aux autres parties prenantes de l’entreprise.
Solution
En fixant des objectifs de sécurité clairs et mesurables, Fiverr a établi un langage commun et fiable pour discuter des besoins en matière de sécurité.
L’équipe de sécurité de Fiverr a connecté Wiz aux outils de gestion de projet de son DevOps pour envoyer de nouveaux résultats en matière de sécurité et aider les développeurs à hiérarchiser les risques.
Grâce aux tableaux de bord Wiz, l’équipe de sécurité de Fiverr peut facilement capturer et partager des informations à jour avec ses collaborateurs et la direction.
Unir la sécurité pour éliminer les vulnérabilités critiques
Fiverr a été fondée pour donner aux gens la possibilité d’acheter et de vendre des services numériques de la même manière qu’ils peuvent acheter des biens physiques, et sa mission principale est de changer la façon dont le monde fonctionne ensemble. Lorsqu’Idan Pinto, ingénieur DevSecOps chez Fiverr, a rejoint l’entreprise, la sécurité du cloud était une responsabilité collective. Cela signifiait que les équipes produit géraient leurs propres vulnérabilités et que la conformité PCI était surveillée et gérée par une autre équipe. Les filiales géraient leurs propres risques. Ce système rendait difficile pour Fiverr de comprendre qui était responsable des risques associés, en particulier lorsqu’il s’agissait de services hérités et d’outils obsolètes.
La mise en place d’un changement à l’échelle de l’organisation de ce processus a été un long chemin, mais aujourd’hui, les efforts de sécurité de Fiverr et son infrastructure cloud ont été consolidés dans AWS et GCP. Cela inclut les filiales de Fiverr, de sorte que l’équipe a un contrôle total sur la posture de sécurité de l’entreprise. La connexion de toutes les informations de sécurité de l’entreprise à Wiz et à d’autres outils de sécurité a mis en évidence certaines vulnérabilités critiques dans l’ensemble de l’entreprise.
Une fois la gestion de la sécurité consolidée, l’équipe de sécurité de Fiverr s’est attelée à la recherche et à la correction des vulnérabilités dans l’ensemble de l’organisation. Ces informations ont aidé l’équipe à opérationnaliser ses efforts de remédiation en intégrant des processus de surveillance et de découverte de la sécurité dans le cycle de vie du travail existant de l’équipe DevOps. « L’étape suivante pour nous consistait à prendre toutes nos recherches, à les partager avec la direction, puis à introduire ces informations dans les flux de travail DevOps quotidiens sans changer leur façon de travailler », a déclaré Pinto. En collaborant lors de réunions hebdomadaires et en intégrant leurs outils de gestion de la sécurité, ils ont été en mesure de traiter leurs risques les plus prioritaires et de réduire à zéro les vulnérabilités critiques.
Nous avons consolidé notre processus de gestion des vulnérabilités en combinant nos autres outils avec Wiz. Nous pouvons désormais regrouper toutes nos conclusions et en informer rapidement le bon propriétaire.
Renforcer la confiance à l’échelle de l’organisation à l’aide de Wiz pour créer un langage de sécurité partagé
L’un des plus grands défis liés à la mise en œuvre de changements à l’échelle de l’entreprise est de faire comprendre aux gens pourquoi ils sont si importants. « Nous devions démontrer à nos partenaires commerciaux que la sécurité était un facteur de facilitation, et non de handicap pour l’entreprise », a déclaré M. Pinto. Ce processus a nécessité des mois de réunions avec les parties prenantes pour comparer l’infrastructure cloud existante de Fiverr à la version de celle-ci que l’équipe de sécurité espérait voir : un système sans aucun élément critique en seulement six mois.
L’équipe de sécurité a utilisé Wiz pour mettre en évidence les risques affectant l’organisation et a informé les autres équipes des coûts potentiels pour l’entreprise si ces risques n’étaient pas traités. Leurs réunions hebdomadaires ont permis à l’équipe de sécurité d’identifier les risques que Fiverr pouvait accepter et ceux qui devaient être traités de toute urgence. « Notre approche consistait à établir une relation de confiance avec nos partenaires DevOps », a déclaré M. Pinto. « Et avec Wiz, nous n’avons pas besoin de dire grand-chose. Ils peuvent voir et comprendre exactement ce que nous voyons, ce qui nous permet d’être sur la même longueur d’onde.
Étant donné que Wiz nous donne un langage commun, je peux collaborer avec notre équipe DevOps lors de réunions hebdomadaires afin que nous comprenions tous parfaitement les étapes à suivre sur un problème. Il pourrait s’agir d’une mesure corrective. Il s’agit peut-être d’accepter un certain risque. L’important, c’est que nous ayons la possibilité d’en parler.
Ensemble, la sécurité et DevOps ont travaillé à partir de ces réunions pour créer des flux de travail automatisés afin de détecter et de corriger les risques sans perturber d’autres projets de développement importants. En connectant Wiz aux outils de gestion de projet et de communication de Fiverr (Monday.com, JIRA et Slack), les vulnérabilités sont désormais détectées et consolidées et agrégées en un seul endroit. Une fois que l’équipe de sécurité a examiné les résultats, les tickets sont ouverts automatiquement. « Nos équipes DevOps sont partiellement responsables de nos problèmes les plus critiques », a déclaré M. Pinto. « En connectant nos plateformes à Wiz, nous pouvons créer automatiquement des tickets JIRA ou Monday pour nous assurer que l’équipe les voit, afin que les vulnérabilités soient traitées rapidement. »
Au fur et à mesure que de nouvelles découvertes sont envoyées dans chaque sprint de développement, Fiverr est en mesure de suivre le rythme des risques potentiels au fur et à mesure qu’ils sont détectés, et le travail de correction est intégré directement aux tâches DevOps quotidiennes. L’équipe de sécurité peut ensuite facilement exporter les données de Wiz et signaler les progrès aux responsables DevOps lors des réunions hebdomadaires, afin que l’équipe puisse continuer à itérer. « Prendre des mesures pour améliorer notre posture de sécurité est un travail d’équipe », a ajouté M. Pinto. « Le fait de pouvoir expliquer à tout le monde ce que nous avons accompli et ce que nous pouvons accomplir d’autre aide les gens à comprendre mon programme et à assurer la sécurité de nos infrastructures. »
Fiverr accélère le développement de ses fonctionnalités en atteignant le niveau « zéro critique »
La clé du succès de Fiverr en matière de sécurité a été l’accent mis sur l’amélioration des relations au sein de l’équipe. La sécurité et le DevOps sont capables de communiquer efficacement et de s’assurer que chaque équipe travaille vers les mêmes objectifs. « Nous avons établi une relation de confiance avec nos équipes et avec Wiz », a déclaré Pinto. « Nous avons été très satisfaits de l’assistance et de la réactivité de l’équipe Wiz, et tous ensemble, nous avons conçu un système, apporté un changement majeur à la conception de notre architecture, et maintenant nous n’avons plus aucun critique. »
Wiz aide également les équipes DevOps à gagner du temps en passant des analyses basées sur des scripts aux API. La possibilité de voir et de partager des informations entre les équipes sans ressources supplémentaires ouvre de nouvelles façons d’agir plus rapidement de manière collaborative sur des informations importantes. « Il est utile de voir que nous gagnons du temps en ingénierie et que nous pouvons exporter immédiatement des informations utiles », a déclaré M. Pinto. « Cela signifie également que nos équipes peuvent se concentrer sur le développement de nouvelles fonctionnalités. » En continuant d’intégrer de nouvelles fonctionnalités dans les flux de travail et des plateformes supplémentaires comme GitHub pour identifier plus clairement les propriétaires de projet, l’équipe peut se développer plus rapidement et renforcer davantage sa posture de sécurité.
En règle générale, la chose la plus difficile pour une équipe de sécurité est de prendre toutes nos conclusions et de choisir la bonne sur laquelle se concentrer. Wiz nous donne la possibilité de trouver les vulnérabilités les plus critiques de notre infrastructure pour nous assurer que nous résolvons les problèmes qui auront le plus d’impact.
Fiverr va de l’avant avec plus d’automatisation
Doté d'une boîte à outils de plus en plus complète et d'une équipe plus collaborative, Fiverr a atteint l'objectif de sécurité "zéro vulnérabilités critiques", mais son engagement en matière de sécurité dans l'environnement en nuage ne s'arrête pas là. Alors que l’organisation s’efforce de continuer à éliminer les problèmes hautement prioritaires au fur et à mesure qu’ils surviennent, elle voit une nouvelle opportunité de se concentrer sur l’exécution et les vulnérabilités dans le code de l’organisation. Cela inclut l’analyse et la correction de l’ensemble du pipeline CI/CD de l’organisation. « Pour en arriver là, il a fallu des mois de gestion du changement et de travail d’équipe, mais maintenant nous travaillons tous ensemble vers les mêmes objectifs, et c’est une victoire pour tout le monde », a déclaré Pinto.
