Défi
New American Funding disposait d’un environnement multicloud complexe et avait besoin d’une visibilité totale sur l’ensemble de ses ressources dans le cloud afin de gérer les risques de sécurité potentiels.
L’ancienne solution de NAF produisait trop d’alertes sans informations exploitables auxquelles les propriétaires d’applications pouvaient répondre, ce qui entraînait des frictions entre les développeurs et la sécurité.
L’équipe de sécurité de NAF devait rester en conformité avec les réglementations strictes en matière de services financiers tout en permettant à l’entreprise d’évoluer rapidement.
Solution
Grâce à une visibilité complète de l’environnement multi-cloud de New American Funding, Wiz permet à NAF de découvrir et traiter plus efficacement les risques et d’améliorer sa posture de sécurité cloud en appliquant des politiques de moindre privilège.
New American Funding fournit aux propriétaires d’applications des informations contextuelles et hiérarchisées sur chaque risque relatif à la sécurité, ce qui leur permet de résoudre les problèmes plus efficacement.
NAF utilise les cadres de conformité de Wiz pour automatiser les évaluations de conformité, générer plus facilement des rapports sur la posture de conformité dans l’ensemble de l’organisation et utiliser ces rapports pour guider sa stratégie de conformité.
New American Funding navigue dans des normes complexes de sécurité des services financiers pour soutenir les propriétaires
En tant que l’un des plus grands prêteurs hypothécaires directs privés du pays, New American Funding (NAF) a pour mission d’aider les familles et les individus à concrétiser leur rêve d’accéder à la propriété. Elle est en mesure d’offrir à ses clients des délais de clôture de prêt parmi les meilleurs de l’industrie en s’appuyant sur la technologie qui est au cœur de ses activités. Aujourd’hui, les agents de crédit de NAF ont accès à une suite d’applications mobiles, y compris le logiciel exclusif de gestion de la relation client de NAF.
Pour prendre en charge cette technologie dans le secteur hautement réglementé des services financiers, NAF dispose d’une équipe interdépartementale de développeurs, de spécialistes informatiques et spécialistes de la sécurité qui maintiennent un environnement multicloud. Elle continue de trouver des moyens pour que ses équipes de sécurité et de développement travaillent ensemble afin de créer la meilleure expérience client possible tout en maintenant la conformité avec des réglementations financières strictes.
Un manque de données claires empêchant une action ciblée
Les normes exigeantes de NAF en matière de sécurité ne sont pas négociables, mais le CSPM existant de l’équipe rendait difficile la compréhension des vulnérabilités de leur environnement cloud. Pour découvrir des problèmes, NAF pataugeait dans des données bruitées, et parfois il n’était même pas possible d’en localiser la source. Une fois qu’une source de risque a été identifiée, l’équipe devait encore déterminer à qui appartenait la ressource et évaluer les centres de coûts pour la correction. En raison du ralentissement économique, la NAF a également dû faire preuve de plus de diligence dans ses dépenses et a dû agir plus rapidement avec moins d’outils.
Dans le passé, nous utilisions un outil qui créait tellement de bruit qu’il ne valait rien. J’avais besoin de données exploitables auxquelles l’équipe pourrait répondre. Wiz dispose d’une interface beaucoup plus facile à comprendre pour les développeurs et permet une correction plus rapide des résultats.
Ce processus fastidieux empêchait les équipes de sécurité de collaborer avec leurs partenaires développeurs et faisait perdre un temps précieux à NAF. Au-delà de la nécessité d’un système de détection et de résolution des problèmes, l’entreprise souhaitait également mettre en place des garde-fous pour les équipes de développement, afin qu’elles puissent continuer à concevoir rapidement et en toute sécurité. « Les développeurs veulent sortir des produits, l’informatique veut s’assurer qu’il n’y a pas de'et la sécurité souhaite auditer le processus et fournir de nouvelles recommandations », a déclaré Jeff Farinich, RSSI de la NAF. « La maintenance du cloud nécessite une copropriété et nous avions besoin de trouver un moyen de travailler ensemble pour atteindre les mêmes objectifs. »
Réduire les coûts tout en améliorant la visibilité et la collaboration
Pour aligner ces équipes, NAF s’est tourné vers Wiz. L’équipe avait besoin d’une plate-forme de sécurité cloud à la hauteur de son outil CSPM existant et capable de consolider ses autres outils de sécurité dans un seul système. « Le déploiement de Wiz a été simple. Nous avons ajouté les descriptions dans nos environnements, nous les avons laissées s'exécuter et nous avons eu une visibilité sur tous nos actifs, nos risques et les mesures exactes à prendre », a déclaré M. Farinich.
Avec Wiz, NAF a gagné en visibilité sur son environnement et ses erreurs de configuration, ainsi que sur le contexte, la priorisation et l’interface facile à lire dont elle avait besoin. Cette nouvelle visibilité a amélioré la collaboration en donnant aux propriétaires d’applications un meilleur aperçu des risques déjà surveillés par les équipes de sécurité. « Wiz a définitivement amélioré la relation entre les équipes de sécurité et de développement. L’équipe de développement considère désormais la sécurité comme un partenaire plutôt que comme un adversaire. Ils voient qu’ils travaillent tous les deux pour atteindre les mêmes objectifs mais sous des angles différents », a déclaré Farinich.
Wiz nous a donné une bien meilleure visibilité sur notre environnement cloud. Du CIEM à la vulnérabilité en passant par les correctifs et Log4j, Wiz nous donne un niveau de confiance beaucoup plus élevé dans notre cloud.
Un autre résultat de cette visibilité améliorée dans l’ensemble de l’organisation a été que NAF a été en mesure d’identifier les utilisateurs trop privilégiés et inactifs dans son système. Les fonctionnalités CIEM de Wiz ont aidé l’équipe de sécurité de NAF à appliquer l’accès basé sur le principe du moindre privilège afin de réduire le nombre d’utilisateurs à privilèges excessifs dans leur environnement cloud. Cette réduction signifie que NAF a limité son exposition par le biais de comptes excédentaires et a renforcé sa posture de sécurité. Grâce à une vue d’ensemble complète de ses droits dans le cloud et de ses autorisations effectives, l’équipe NAF peut détecter et prioriser les risques liés à l’identité, et permettre aux équipes d’agir rapidement.
Création d’une équipe de sécurité plus rapide et plus collaborative
L’adoption de Wiz a facilité la collaboration entre les équipes de NAF, et cette collaboration conduit directement à une meilleure plate-forme pour les activités en pleine croissance de NAF et ses clients. La remédiation à grande échelle permet aux équipes de répondre aux demandes de l’entreprise et de générer de nouvelles possibilités de rentabilisation. Cela inclut la gestion efficace de deux environnements cloud. « L’utilisation de Wiz nous permet d’aller plus vite et d’y remédier davantage », a déclaré M. Farinich. « Il est facile à utiliser, et le résultat final est que l’organisation devient plus sûre, plus rapidement avec moins de ressources. » NAF utilise Wiz pour obtenir des informations sur les deux clouds afin de prendre des mesures rapidement, quelle que soit l’origine d’une vulnérabilité.
Maintenir efficacement les normes de conformité
Au fur et à mesure que NAF se développe, il est également possible de faire remonter plus facilement les risques à la direction afin de créer de la transparence dans l’ensemble de l’organisation. Cette transparence a contribué à un taux d’adoption croissant au sein des équipes d’application et de la direction, et elles sont désormais en mesure d’examiner et de prendre des mesures pour résoudre et anticiper les problèmes liés à la conformité.
L’entreprise utilise les évaluations de conformité automatisées et les cadres de conformité intégrés de Wiz pour évaluer et comprendre plus rapidement la conformité à un large éventail de normes réglementaires, notamment NIST et CSF. Ils utilisent également cette base pour intégrer d’autres cadres de sécurité dans leur processus de conformité afin de s’assurer qu’ils répondent aux exigences financières d’organisations telles que la Federal Trade Commission et le New York Department of Financial Services. Grâce à un accès immédiat aux scores de posture et à des rapports facilement partageables, l’équipe de sécurité de NAF peut communiquer les risques et les contrôles cartographiés pour les responsables non techniques de l’entreprise.
Wiz nous a permis d’améliorer notre posture de sécurité, mais il nous a également donné les outils et la visibilité dont nous avons besoin pour éduquer tous les membres de notre équipe aux contrôles de conformité que nous devons effectuer.
Ces nouvelles informations digestes permettent à l’équipe de sécurité de démontrer clairement les besoins de l’entreprise en matière d’initiatives de sécurité, d’obtenir l’engagement de la direction dans de nouveaux projets et de développer une plateforme plus sécurisée, plus conforme et plus puissante pour les acheteurs de maisons à travers les États-Unis.
La prochaine étape de la sécurité pour New American Funding
NAF continue de trouver des moyens de devenir plus efficace en termes de temps et dépenses. Sa prochaine étape majeure est la migration de l’ensemble de ses capacités informatiques vers le cloud. En migrant, elle vise également à réduire davantage les coûts de sécurité en utilisant Wiz afin de surveiller ses données sensibles dans le cloud grâce au DSPM. NAF est convaincue qu’elle peut se développer comme elle le souhaite avec Wiz. « La plate-forme est simple et le déploiement immédiat. Nous avons gagné en sécurité et nous sommes devenus plus rapides avec moins de ressources », a déclaré Farinich. « Wiz est une nécessité. »
Vous voulez savoir comment votre programme de sécurité du cloud peut obtenir les mêmes résultats que New American Funding ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
