Comment OTTO protège les données des clients de détail grâce à une approche de sécurité basée sur CNAPP

En tant que l’une des plus grandes entreprises de commerce électronique au monde, OTTO souhaitait pérenniser son approche de la sécurité du cloud avec une plate-forme de sécurité cloud unifiée pour protéger son infrastructure et les données de ses clients.

Otto

Industrie

Particulier

Région

Europe

Plateformes cloud

AWS
GCP
Azure
Prêt à commencer ?
Demander une démo

Défi

  • OTTO devait trouver des moyens de respecter les normes de conformité tout en développant et en déployant rapidement du code. 

  • Un environnement multicloud en pleine croissance et un ensemble complexe de dirigeants d’entreprise distribués ont aidé les équipes à évoluer rapidement, mais cela a également ajouté des risques. L’entreprise avait besoin d’une plateforme centralisée pour que ses équipes puissent surveiller et unifier la sécurité de son cloud. 

  • En plus de visualiser la posture de sécurité en un seul endroit, OTTO souhaitait également réduire le travail manuel nécessaire à l’examen et à la compréhension des informations liées à la sécurité. 

Solution

  • L’entreprise a choisi Wiz comme solution de sécurité consolidée afin de réduire le besoin d’outils distincts et de construire une base évolutive pour son programme de sécurité cloud en pleine croissance. 

  • Avec Wiz, OTTO dispose d’une source unique de vérité pour sa surveillance de la sécurité, qui offre aux équipes individuelles la possibilité de personnaliser les alertes qui leur sont partagées. De cette façon, chaque équipe a accès aux informations les plus pertinentes d’une manière qui répond à ses besoins. 

  • En hiérarchisant et en partageant automatiquement les risques potentiels avec les bonnes parties, Wiz permet à OTTO de se concentrer sur le développement plutôt que sur l’examen et le suivi manuels de la posture de sécurité.  

Sécurisation de l’infrastructure cloud de la plus grande boutique en ligne allemande grâce à la consolidation des outils de sécurité 

OTTO GmbH & Co KG (OTTO) est le fournisseur de la plus grande boutique en ligne allemande du même nom. L’entreprise a fait ses débuts en tant que catalogue de vente par correspondance en 1949. Il s’est développé pour faire partie du groupe Otto, un groupe de vente au détail et de services actif à l’échelle mondiale avec environ 41 000 employés dans 30 grands groupes d’entreprises, opérant pour offrir la meilleure expérience de commerce électronique à ses millions de clients. Aujourd’hui, le groupe Otto c’est l’un des plus grands détaillants en ligne au monde avec plus de 16 milliards de dollars de revenus annuels (GMV – Gross Merchandise Volume). 

Au cours des années qui ont suivi le passage de la vente par correspondance au commerce électronique, l’entreprise a considérablement accru sa présence dans le cloud. Devenir une entreprise principalement en ligne impliquait de déplacer de plus en plus de ses technologies en ligne, mais dans ce processus, l’entreprise a trouvé de nouvelles exigences pour rester conforme et régir efficacement l’accès aux données. 

La protection de son infrastructure cloud en expansion progressive et des données de ses clients est une priorité majeure. Pour ce faire, OTTO s’engage à faire de la sécurité une responsabilité partagée dans toute l’organisation. « Pour une entreprise de notre taille, nous pensons qu’il est important d’intégrer les pratiques de sécurité dans le travail quotidien de chacun », a déclaré Ralf Kleinfeld, responsable de la sécurité de l’information chez OTTO.  

Nous établissons des normes élevées en matière de sécurité afin de protéger les données de nos clients. Pour répondre à ces normes, nous devons partager la responsabilité de la sécurité dans toute l’entreprise, et nous pouvons utiliser Wiz pour partager facilement les informations de sécurité avec les bonnes personnes.

Dans cette optique, OTTO avait besoin d’une solution de sécurité qui permettrait à toutes ses équipes de rester sur la même longueur d’onde. « D’un point de vue organisationnel, la répartition des responsabilités en matière de sécurité est difficile sans une solution de sécurité centralisée. Pour nous assurer que tout le monde reste conforme à nos normes de sécurité et puisse faire son travail de manière autonome, nous avons dû unifier la sécurité », a déclaré M. Kleinfeld. La solution de sécurité existante de l’entreprise offrait un aperçu des problèmes de sécurité, mais elle nécessitait plusieurs étapes manuelles pour examiner les problèmes. Cela a conduit l’équipe DevOps d’OTTO à rechercher une solution plus efficace et consolidée.  

Centralisez et démocratisez la gestion de la sécurité du cloud avec une CNAPP  

La volonté d’équilibrer la sécurité et la vitesse de déploiement a poussé OTTO à explorer plate-forme de protection des applications cloud-native (CNAPP) Solutions. Cela signifie combiner sa capacité à voir l’ensemble de sa posture de sécurité, à sécuriser le processus de développement logiciel avec une politique unique entre les équipes et à intégrer des contrôles de conformité dans le développement avec un seul outil. « Nous avions beaucoup d’options pour les solutions de sécurité, mais nous avons constaté qu’une CNAPP nous offrait la vue la plus complète de notre environnement cloud et que nous pouvions mieux sécuriser notre processus de développement en même temps », a expliqué M. Kleinfeld. L’entreprise a choisi Wiz pour soutenir ses objectifs de sécurité à l’échelle de l’entreprise.  

Avec Wiz, différentes équipes peuvent tirer parti d’une seule plateforme de sécurité pour créer, sécuriser et surveiller l’infrastructure cloud. Ils peuvent utiliser cet alignement pour s’assurer que les politiques et les contrôles sont normalisés, afin que les risques soient évalués de manière cohérente et tout au long du processus de développement. « Nos équipes de sécurité peuvent examiner la gestion de la posture, nos développeurs peuvent voir les alertes de sécurité sur les applications et les opérations peuvent voir les problèmes entre les équipes », a déclaré M. Kleinfeld. « Chaque équipe a accès à ce dont elle a besoin, et elle peut facilement discuter avec d’autres équipes parce qu’elles consultent les mêmes informations. » Une autre partie de cet alignement provient également de l’inclusion des parties prenantes dans toutes les équipes pendant le processus d’évaluation. Tout le monde a pu voir le rôle de Wiz dans ses flux de travail, tout le monde a pu s’aligner sur la façon dont la solution prendrait en charge le travail futur.  

Wiz CNAPP prend en charge la sécurité de nos environnements cloud en un seul endroit. Toutes nos informations de sécurité se trouvent au même endroit, et la solution est suffisamment flexible pour que les différentes équipes puissent se concentrer uniquement sur les détails dont elles ont besoin.

Pour s’assurer que les équipes d’OTTO utilisaient ce contexte de sécurité, l’entreprise a mis en place des champions de la sécurité dans les équipes qui utilisent Wiz. Grâce à leur soutien, chacun a pu explorer de nouvelles façons d’intégrer la sécurité dans son travail. « Nos développeurs savent que la sécurité est importante, mais ils ne passent pas leurs journées dans Wiz », a souligné Kleinfeld. « Le fait de pouvoir personnaliser la façon dont ils reçoivent les alertes a vraiment amélioré les taux d’adoption, ce qui signifie que nous pouvons continuer à résoudre les problèmes plus rapidement. »  

Les équipes utilisent tout, des alertes Wiz dans l’application aux tickets de service et aux notifications par e-mail, pour rester au fait des risques de sécurité et résoudre efficacement les problèmes. Cela signifie que l’équipe a pu trouver et résoudre immédiatement les problèmes dès qu’une vulnérabilité est introduite dans l’environnement. 

La société a également créé des règles personnalisées dans Wiz pour s’aligner sur les exigences spécifiques à OTTO. « Nous disposons d’un système de balisage pour nos ressources cloud, et nous pouvons désormais nous assurer qu’aucune ressource n’est déployée si elle n’est pas étiquetée avec les informations appropriées », a expliqué M. Kleinfeld. 

Utiliser le contexte pour hiérarchiser et collaborer sur la sécurité 

Le fait de pouvoir non seulement voir une alerte, mais aussi de comprendre à quel point un problème est critique et pourquoi il est important de le résoudre, réduit le temps dont OTTO a besoin pour protéger son environnement cloud. « Nous savons maintenant que nous examinons d’abord les choses importantes, et nous pouvons utiliser Wiz pour mesurer exactement le temps qu’il nous faut pour traiter un problème », a déclaré Kleinfeld. Avec ces données en main, le responsable de la sécurité de l’information peut clairement démontrer la valeur de la sécurité et décrire comment la sécurité permet, et non ralentit, le travail de l’organisation.  

Parce que Wiz évalue et hiérarchise automatiquement nos risques, nous avons été en mesure de mettre en place un processus plus structuré pour résoudre les problèmes en fonction de l’impact.

En consolidant, En affichant et en mesurant l’impact de la sécurité en un seul endroit, OTTO dispose également d’un moyen simple de rendre compte du parcours de sécurité de l’organisation. « Avec le tableau de bord Wiz, j’ai une vue en direct de notre posture de sécurité en un seul endroit », a expliqué M. Kleinfeld. « Cette facilité d’accès est quelque chose que nous n’avions pas auparavant, et cela me facilite tellement la vie. »  

L’organisation continue de trouver de nouvelles façons d’exploiter Wiz pour sécuriser son développement dans le cloud. En approfondissant chaque élément qui compose l’environnement cloud complexe d’OTTO, l’entreprise peut continuer à trouver, gérer et sécuriser chaque couche de son cloud. 

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

“La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud.”
David EstlickRSSI
“Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud.”
Adam FletcherChef du service de sécurité
“Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement.”
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités