Monese obtient une visibilité totale sur son environnement AWS avec Wiz

Monese, une société de services financiers basée sur des applications mobiles et disponible pour des clients dans 31 pays au Royaume-Uni et en Europe, améliore la visibilité de son environnement AWS, hiérarchise les tâches de sécurité et se rapproche de la conformité PCI.

Monese

Industrie

Services financiers

Région

Europe

Plateformes cloud

AWS
Prêt à commencer ?
Demander une démo

Défi

  • Opérant au sein d’un secteur fortement réglementé, Monese avait besoin d’une visibilité totale sur son environnement AWS.

  • Monese avait besoin d’une solution qui pourrait aider l’équipe de sécurité à hiérarchiser ses tâches de sécurité et à obtenir une visibilité sur les erreurs de configuration par rapport aux meilleures pratiques du secteur. 

  • Monese était à la recherche d’un outil sans agent capable de fournir des informations complètes sur la posture de sécurité aux différentes équipes de l’organisation, éliminant ainsi le besoin de s’appuyer uniquement sur l’équipe de sécurité. 

Solution

  • Monese a obtenu une vue complète de son environnement AWS, ce qui a permis à l’équipe de sécurité de trouver des vulnérabilités, de localiser leur emplacement exact et de les attribuer aux propriétaires d’entreprise responsables.

  • La petite équipe de sécurité de Monese a été en mesure de gérer efficacement ses tâches en identifiant et en suivant les vulnérabilités à l’aide de la plateforme Wiz.

  • Monese a été en mesure de créer une culture de sécurité plus collaborative en permettant à un plus grand nombre d’utilisateurs (y compris les développeurs et les chefs de produit) d’utiliser la plateforme pour comprendre et réduire les risques, et de les atténuer de manière proactive, protégeant ainsi l’entreprise d’éventuels temps d’arrêt.

À la recherche d’une visibilité totale avec un outil pour plusieurs équipes

Monese est une société de services financiers de détail numériques qui fournit des comptes mobiles uniquement dans une sélection de devises et de pays de l’Espace économique européen. En tant qu’entreprise cloud-native, Monese s’est engagée à mettre en œuvre des mesures de sécurité strictes qui ont remporté't entraver les opérations commerciales.  Aneel Sandhu, RSSI chez Monese, déclare : « Notre stratégie de sécurité est actualisée chaque année. Il y a quatre piliers. L’un des principaux piliers est la capacité à sécuriser rapidement. En dehors de cela, il'des choses plus traditionnelles comme s’assurer qu’il y a'la transparence pour les citoyens à tous les niveaux ; cela'de personnes qui peuvent être des développeurs ou des chefs de produit ou même du conseil d’administration. Et puis être en mesure de s’assurer que nous'être conformes à toute réglementation qui s’applique à nous ou à nos clients. 
 
Monese ne disposait pas d’une visibilité complète sur son environnement AWS, ce qui était particulièrement préoccupant en raison de sa petite équipe de sécurité et de la nature rapide de l’organisation. Avec les outils précédents, les équipes manquaient souvent de contexte autour des vulnérabilités et étaient incapables de hiérarchiser efficacement leurs besoins en matière de sécurité. « Parce que l’entreprise dispose d’un environnement cloud complexe, notre principal problème a toujours été la visibilité. »  Ayant besoin de déléguer le travail de sécurité, Monese a cherché un outil capable de fournir les informations sur les risques nécessaires aux membres de différentes équipes.  
 
De plus, Monese opère dans un secteur et une région hautement réglementés, ce qui fait de la conformité un aspect crucial de ses opérations, en particulier la conformité et les réglementations 27001 (sécurité de l’information) à travers l’Europe. Monese avait besoin d’une solution qui l’aiderait à se conformer à la réglementation et lui permettrait d’être plus transparent avec ses clients et d’améliorer son activité. Sandhu note que l’un des piliers clés du programme de sécurité de Monese est de s’assurer que l’entreprise se conforme à toutes les réglementations pertinentes qui s’appliquent à elle ou à ses clients dans toutes les juridictions.

Se fixer des objectifs pour mieux s’adapter

Avant de mettre en œuvre Wiz, Sandhu s’appuyait sur des scripts manuels pour comprendre les composants de l’environnement de Monese, ce qui prenait beaucoup de temps et n’offrait pas une vue complète. Monese utilisait également des scanners de sécurité traditionnels qui n’étaient pas adaptés aux environnements cloud natifs et avait besoin d’un meilleur moyen de partager l’atténuation des risques au sein de sa petite équipe de sécurité.

J’ai besoin d’avoir un aperçu de ce à quoi ressemble notre domaine. En tant que RSSI, il'Il est presque impossible de comprendre tous les composants qui composent notre environnement. Nous n’étions pas aveugles aux problèmes, mais nous devions faire confiance à certaines personnes pour être au courant des résultats de sécurité.

Monese souhaitait une solution de sécurité qui améliorerait la visibilité totale et renforcerait la préparation à la conformité réglementaire, tout en facilitant la délégation des tâches de sécurité, réduisant ainsi la dépendance à l’égard de sa petite équipe de sécurité. Son objectif était de mettre en place une pratique de sécurité ayant un large impact positif sur l’entreprise.

La recherche d’une plateforme complète de sécurité cloud

Sandhu se souvient que son équipe de sécurité a d’abord cherché un scanner de vulnérabilité pour répondre aux exigences de ses clients bancaires et aux exigences réglementaires. Toutefois: 

Lorsque nous avons examiné les outils disponibles, nous étions à la recherche d’un scanner de vulnérabilité et nous nous sommes rapidement rendu compte qu’ils n’étaient pas adaptés aux environnements cloud natifs... nous nous sommes rendu compte qu’AWS et d’autres CSP génèrent beaucoup de données. Nous n’avons pas'Besoin d’un scanner de vulnérabilité ; Nous avions besoin d’une solution de gestion des vulnérabilités de configuration.

Après avoir décomposé leurs exigences technologiques et mené un processus de demande de propositions (RFP), ils ont envisagé quelques solutions. Sandhu se souvient qu’ils ont choisi Wiz parce qu’il était capable de capturer des quantités substantielles de données et de fournir à son équipe une vue très concise.

Augmenter la visibilité et la hiérarchisation des priorités avec Wiz

L’équipe de Sandhu a pu commencer à utiliser Wiz facilement. Il se souvient : « Nous avons pu mettre Wiz en service très rapidement simplement grâce à sa connectivité cloud native. » Au cours de la période d’essai de Monese avec Wiz, la vulnérabilité Log4j leur a montré la puissance de Wiz'. Sandhu dit qu’ils « ont été particulièrement chanceux que log4j ait eu lieu pendant l’essai avec Wiz. Non seulement nous étions opérationnels, mais cela nous a permis de comprendre instantanément où nous avions des vulnérabilités liées à Log4j… tout cela pendant la période d’évaluation."    

Monese a rapidement mis en œuvre Wiz. Le processus a été simple, Wiz se connectant directement à l’environnement AWS de Monese et offrant immédiatement une visibilité sur ses systèmes. Ensuite, ils se sont concentrés sur l’identification et l’atténuation précoces des vulnérabilités potentielles et sur la prévention des temps d’arrêt potentiels. Sandhu note : « En utilisant Wiz dans nos pipelines de développement, nous sommes en mesure de récupérer des choses, d’effectuer des revues de code et de comprendre les bibliothèques tierces. » Cela met en place Monese'afin de cerner et de résoudre les problèmes pendant le développement, plutôt qu’à la fin du processus. Sandhu ajoute : « Wiz ne se contente pas de vérifier ce que'fonctionnant dans le nuage ; Il a également une vue sur tout ce qui'vont finir par être poussés dans notre environnement de production. 

Partage des responsabilités, virage à gauche

Sandhu explique également qu’avec Wiz, il est facile de fournir aux responsables de produit une vue en direct des vulnérabilités qui leur sont attribuées et de l’ancienneté de ces vulnérabilités. "Cela donne beaucoup plus de poids à la priorité des correctifs de sécurité », dit-il. « Étant donné que le travail des développeurs est guidé par les exigences qu’un chef de produit ou un chef de projet leur impose, les vulnérabilités peuvent désormais être attribuées aux chefs de produit. » Cela a permis à Monese de déléguer le travail de sécurité à un plus grand nombre de membres de l’équipe, augmentant ainsi la responsabilité. 

Wiz offrant la possibilité d’attribuer des vulnérabilités aux propriétaires d’entreprise et de partager le travail d’atténuation des risques, Monese peut suivre et hiérarchiser les correctifs de sécurité plus efficacement. 

Wiz nous a permis de localiser exactement où nous avions des problèmes. Si nous avions essayé de comprendre tout ce qui était affecté par log4J sans Wiz, il nous aurait fallu au moins sept ou huit jours pour identifier partout où nous devions réparer quelque chose. Wiz nous a permis de localiser ces zones immédiatement.

Gagner en agilité et accélérer les déploiements

Monese a également constaté le grand avantage d’une organisation de développement plus mature et plus efficace. Ses équipes de développement et de sécurité peuvent travailler ensemble, et plus rapidement, pour résoudre les problèmes de sécurité ; Cela améliore non seulement sa posture de sécurité, mais renforce également la collaboration au sein de l’organisation. Cela crée une collaboration plus agile en matière de développement et de sécurité, accélère le déploiement et permet aux développeurs de donner le meilleur d’eux-mêmes. 

Parfois, il'Il ne s’agit pas seulement de pouvoir dire : "Il y a'un problème ; Allez régler ça.' Qu’est-ce que c''nous a permis de le faire, c’est d’avoir une compréhension très claire de ce qu’est ce problème et de la façon de le résoudre. Wiz nous a donc aidés à déclencher beaucoup de travail tout en faisant mûrir notre développement dans son ensemble, simplement parce que cette compréhension des problèmes fondamentaux nous permet de construire beaucoup plus. Cette compréhension nous aide à faire progresser nos pratiques en matière de sécurité.

Répondre facilement aux exigences de conformité

Wiz a soutenu l’analyse des écarts de Monese, et cette capacité à évaluer et à combler les écarts de conformité est un aspect clé de la stratégie de conformité de Monese. Wiz a également aidé Monese à répondre plus efficacement aux exigences des clients et aux exigences réglementaires, et à documenter leur statut de conformité à l’aide de preuves automatisées à partager avec divers partenaires.

Wiz nous a permis de donner des preuves solides aux auditeurs des régulateurs, aux clients et aux investisseurs, prouvant que nous sommes réellement aussi bons que nous le disons. Nous pouvons démontrer que nous répondons à des exigences en matière de sécurité.

Aller de l’avant, apprendre toujours

À propos de son poste de RSSI et des pratiques de sécurité en général, Sandhu souligne : « J’apprends quelque chose de nouveau chaque jour. Je dois comprendre ce que fait l’entreprise et comment elle prend des mesures pour appliquer la sécurité. Je dois comprendre comment fonctionne la technologie pour m’assurer qu’elle'est suffisamment sécurisé, donc je dois toujours apprendre." 

Avec la mise en œuvre réussie de Wiz, Monese planifie un avenir où la sécurité est intégrée et rationalisée dans tous les aspects de ses opérations commerciales. L’amélioration de la visibilité, de la gestion des vulnérabilités et des rapports de conformité continuera de profiter à Monese au fur et à mesure de son évolution. Ils peuvent désormais montrer en toute confiance aux auditeurs, aux régulateurs, aux clients et aux investisseurs qu’ils répondent aux exigences de sécurité, ce qui est essentiel dans tout secteur hautement réglementé.  Et grâce à des pratiques de sécurité partagées plus agiles et à une meilleure collaboration entre les équipes de développement et de sécurité, Monese peut consacrer plus de temps et d’efforts à la fourniture de services bancaires de qualité supérieure à ses clients.

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

“La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud.”
David EstlickRSSI
“Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud.”
Adam FletcherChef du service de sécurité
“Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement.”
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités