Défis
L'équipe sécurité de Renaissance a consacré un temps et des ressources précieux à l’attribution manuelle de tickets d’assistance pour résoudre les problèmes liés à 15 produits.
Les équipes nouvellement acquises utilisaient différentes technologies pour le codage et l’ingénierie, ce qui entravait le fonctionnement de normes de sécurité cohérentes dans l’ensemble de l’entreprise.
Un examen tardif des correctifs de vulnérabilités non critiques pourrait créer des zones de risque.
Solutions
Les vulnérabilités et problèmes sont automatiquement attribués aux équipes compétentes pour qu’elles les résolvent, tandis que l’équipe de sécurité assure la supervision et intervient si nécessaire.
Renaissance s’appuie sur Wiz pour évaluer le cyber-risque des entreprises acquises, ce qui est essentiel lorsqu’il s’agit de sécuriser les données sensibles.
Le suivi en temps réel des vulnérabilités permet aux équipes de développement et d’ingénierie de Renaissance d’enquêter de manière proactive et de résoudre les problèmes de moindre priorité pouvant ne pas justifier un ticket.
L’un des principaux fournisseurs de SaaS pour les écoles de la maternelle à la 12e année
Renaissance est une entreprise de logiciels en tant que service (SaaS) qui fournit des produits qui gèrent les évaluations, les programmes d’études, la pratique et les activités d’enseignement pour les écoles de la maternelle à la 12e année aux États-Unis et dans le monde. Fondée en 1986, Renaissance fournit 15 produits essentiels et, au cours des trois dernières années, a acquis d’autres entreprises afin de remplir sa mission d’accélération de l’apprentissage pour tous. « Notre stratégie d’acquisition fournit aux écoles des outils intégrés visant à faciliter l’évaluation et l’enseignement à partir d’une seule source plutôt qu'en passant par plusieurs fournisseurs », explique le directeur de la sécurité des systèmes d’information de Renaissance.
À l’heure actuelle, les districts scolaires utilisent des outils de différentes entreprises et doivent les intégrer sans disposer des ressources et du financement nécessaires pour qu'ils fonctionnent correctement. Renaissance, quant à elle, permet aux écoles d’accéder à un écosystème complet d’outils d’apprentissage provenant d’un seul fournisseur, ce qui permet d'enrichir l’expérience d’apprentissage de millions d’élèves.
La protection des données des étudiants est une priorité essentielle pour Renaissance. « La confidentialité des données est souvent un facteur primordial de différenciation pour les décideurs », explique le RSSI. « Ainsi, en ce qui a trait aux acquisitions potentielles, nous examinons les risques encourus, les finances, ressources et personnes nécessaires pour mettre la cible en conformité avec nos normes de sécurité. »
Consolidation sur le cloud
Le parcours de Renaissance a commencé il y a plus de 20 ans, en commençant par son propre centre de données. Au fil du temps, l’entreprise a migré ses produits de base vers un environnement cloud public dans AWS, en acquérant ainsi des entreprises cloud native. « L’un des plus grands défis est d’obtenir une visibilité sur l’ensemble de l’environnement et de savoir ce qui se passe dans tous ces différents domaines. »
Les produits et processus de sécurité de Renaissance existants nécessitaient une automatisation afin de favoriser sa croissance rapide. L’attribution manuelle de tickets d’assistance aux équipes afin de rectifier les problèmes liés à 15 produits était un processus chronophage et qui consommait beaucoup de ressources. En outre, la résolution des vulnérabilités non critiques était parfois retardée, et le suivi des correctifs constituait également un exercice laborieux.
Vision holistique et contextualisation parmi les principaux critères de sélection
Renaissance a envisagé une gamme de solutions avant de choisir son partenaire. « Wiz s’est penché sur notre infrastructure principale cloud pour fournir une vue d’ensemble, tandis que d’autres n’ont examiné que des éléments individuels tels que les API ou les fichiers ou données partagés. » Il a également été impressionné par la rapidité et la facilité de déploiement de Wiz, qui promettait un retour sur investissement sans précédent, sans frais d’installation ni de service. Le Security Graph de Wiz a été un autre facteur de différenciation.
Le Security Graph ajoute du contexte aux problèmes que vous rencontrez et vous permet de les trier automatiquement. Il s’agit de traquer et de traiter les vulnérabilités qui ont un impact réel sur l'entreprise, et le Security Graph Wiz nous permet de le faire.
L’équipe de sécurité de Renaissance a été en mesure d'utiliser immédiatement le tableau de bord Wiz pour accroître sa visibilité sur l’ensemble de son environnement cloud, en commençant ainsi, en quelques minutes, à créer de la valeur.
Le déploiement a testé de manière rigoureuse le rôle et les performances de Wiz au cours du processus d’acquisition. « L’un des problèmes les plus difficiles que j’aie eu à résoudre en tant que RSSI c'était de trouver le moyen le plus rapide et le plus efficace pour couvrir l’environnement du point de vue de la sécurité. Dès le premier jour, après une acquisition, je peux brancher Wiz, me synchroniser avec le nouvel environnement et le voir immédiatement. »
Aujourd’hui, Wiz apporte de la valeur à Renaissance encore plus tôt dans le processus d’acquisition. Une fois que Renaissance peut visualiser l’infrastructure de l’entreprise acquise, Wiz identifie les vulnérabilités, les erreurs de configuration, les expositions réseau, les privilèges et les secrets exposés dans son propre environnement cloud et celui des cibles d’acquisition, minimisant ainsi les risques de sécurité de sa stratégie de croissance.
Wiz a changé notre procédure M&U. L’outil fournit une évaluation automatisée des cyber-risques relatifs à la société absorbante, ce qui est un élément central, notamment pour ce qui est du traitement des données sensibles.
Instaurer une relation de confiance avec les équipes de développement
Étant donné que l’état des vulnérabilités et de la remédiation est désormais automatisé et observable à partir d’une vue d'ensemble, l’équipe de sécurité peut clairement attribuer la responsabilité à l’équipe appropriée pour résoudre le problème.
En automatisant le processus de gestion des vulnérabilités aux menaces, Wiz a aidé Renaissance à changer la relation entre la sécurité et les développeurs en analysant les vulnérabilités qui peuvent être triées avec un contexte riche et transmises à l’équipe concernée.
Et comme l’équipe de sécurité a intégré des outils tels que JIRA à Wiz, les développeurs s’approprient beaucoup plus le processus de résolution des vulnérabilités. Alors que l’équipe de sécurité assume un rôle de surveillance, les développeurs peuvent enquêter de manière proactive et résoudre les problèmes de moindre priorité, en éliminant les silos et en transformant le modèle d’exploitation cloud de Renaissance.
Renaissance peut désormais poursuivre facilement sa croissance et son dévouement à la confiance de ses clients, en surveillant la sécurité 24 heures sur 24 et 7 jours sur 7, et en résolvant rapidement les problèmes. « En tant que fournisseur SaaS, vous devez vous pencher sur la sécurité comme facteur de différenciation et dire que nous avons ce qu’il vous faut. Wiz nous permet de cela. »
