Défi
Revolut souhaitait une solution qui fournisse moins d’alertes et des alertes plus intelligentes pour mettre en évidence les problèmes réels qui nécessitent une attention particulière.
Revolut avait besoin de créer un partenariat collaboratif et flexible entre les équipes de sécurité et d’ingénierie.
Avec des volumes élevés de nouvelles fonctionnalités constamment en production, une visibilité automatisée plus intelligente était nécessaire pour mettre en place de meilleures politiques de base.
Solution
Revolut a utilisé Wiz pour hiérarchiser les menaces les plus critiques et fournir un contexte exploitable qui a permis à la sécurité et aux développeurs de mieux concentrer leur temps.
Revolut a mis en place un nouveau comité interfonctionnel pour discuter régulièrement des nouveaux problèmes de sécurité, en s’appuyant sur les tableaux de bord et les rapports Wiz.
Revolut a mis en place des contrôles personnalisés qui s’alignent sur les politiques de sécurité et a intégré Wiz à Jira, créant ainsi des tickets automatisés pour corriger plus rapidement les vulnérabilités identifiées.
Sécurisation d’une application financière en pleine croissance
Revolut aide plus de 30 millions de clients dans 40 pays à dépenser, épargner et investir pour construire un meilleur avenir financier. Il permet aux gens de gérer toutes leurs activités financières à partir d’une seule plate-forme - du change de devises aux transferts de fonds et aux investissements.
La croissance accélérée a permis à l’équipe de Revolut de passer de centaines à des milliers d’employés en huit ans, avec près de 1 000 ingénieurs travaillant sur plusieurs projets et mises à jour de fonctionnalités à la fois.
« Lorsque vous devenez essentiellement une entreprise, vous devez mettre en place de nouveaux types de processus », explique Uros Solar, responsable des opérations de sécurité et de la sécurité informatique chez Revolut. « Cela apporte beaucoup de changements, surtout dans un environnement en croissance rapide où de nombreuses nouvelles fonctionnalités sont constamment ajoutées. »
Depuis sa création, Revolut a fonctionné comme une opération profondément cloud native dans Google Cloud, avec un petit nombre de systèmes sur site pour se conformer à certaines exigences réglementaires. Mais en mettant l’accent sur la mise en place d’une opération sans serveur et conteneurisée, l’entreprise est prête à tirer parti de nouvelles opportunités à mesure que les besoins des clients évoluent.
Réduire le bruit, réduire les frottements
Dans le cadre de ses systèmes d’analyse traditionnels, l’équipe de sécurité de Revolut a constaté qu’il y avait tout simplement trop de bruit généré. Des volumes élevés d’alertes et de tickets entraînaient trop de travail manuel ainsi que des frictions inutiles entre les équipes de sécurité et d’ingénierie.
"Il est important que la sécurité soit un catalyseur de l’entreprise et qu’elle ne limite pas négativement les progrès, mais qu’elle équilibre les risques et les avantages de manière appropriée », explique M. Solar. « Il est préférable d’informer les utilisateurs finaux de ce qui se passe réellement et quels sont les risques réels, puis de voir comment nous pouvons les atténuer dans un environnement réel. »
Cette volonté d’améliorer la communication a motivé la recherche par Revolut d’une solution qui donne à la fois de la visibilité et du contexte à son environnement. Une approche plus ciblée aiderait Revolut à jeter les bases de conversations itératives entre les équipes d’ingénierie et de sécurité afin de traiter les vulnérabilités et les risques.
La sécurité est comme un système immunitaire de l’organisation. Il doit évoluer avec la fonction première de l’organisme. Si ce n’est pas le cas, il deviendra bientôt obsolète par rapport à son propre objectif.
Des rapports attrayants et perspicaces
En passant à Wiz, Solar admet qu’il est « instantanément tombé amoureux de la façon dont les problèmes sont présentés ». Revolut a trouvé que Wiz offrait une valeur immédiate. « La facilité d’intégration était assez élevée », explique Solar. « Je ne m’attendais pas à ce que le produit apporte beaucoup de valeur dès l’intégration. C’était une agréable surprise.
Allant au-delà des simples alertes, Revolut a apprécié la façon dont Wiz ne s’est pas contenté de signaler les problèmes, mais a également proposé des recommandations sur la façon dont tout problème donné pouvait être résolu.
« Wiz nous donne la possibilité d’afficher les problèmes d’une manière attrayante et très intéressante pour l’ensemble de l’organisation », explique Solar. « Wiz semble vraiment comprendre une entreprise comme la nôtre et donne immédiatement beaucoup de surveillance, guidant quelqu’un pour qu’il approfondisse un problème afin de vraiment comprendre quoi, où, quand et comment il peut être exploité. »
Revolut utilise désormais Wiz pour identifier de manière proactive les vulnérabilités potentielles et les erreurs de configuration, pour surveiller la conformité aux normes PCI et SOC2 et pour détecter les exploits critiques tels que les logiciels malveillants. L’équipe de sécurité a également mis en place des contrôles personnalisés qui s’alignent sur les politiques de sécurité, en envoyant des alertes automatisées directement aux ingénieurs pour atténuer les risques.
Alors que Revolut a réussi à intégrer Wiz dans ses processus, l’équipe de sécurité s’est également efforcée de faire des progrès pour améliorer la culture de sécurité globale de l’organisation.
« Nous ne voulons pas prendre toutes les décisions dans le cadre de la sécurité », explique Solar. « La sécurité touche à tout, mais nous ne serions jamais les experts en la matière. Nous avons besoin d’entendre d’autres points de vue et de prendre en compte d’autres contributions pour déterminer si un problème potentiel donné doit être traité comme un problème réel ou non.
Il s’agit toujours d’être à l’écoute du rythme de l’organisation, d’être flexible, de savoir ce qui se passe et comment le faciliter et le permettre. Nous avons besoin d’en savoir beaucoup sur beaucoup de choses. Sinon, nous ne pouvons pas le sécuriser.
Pour ce faire, Revolut organise régulièrement des réunions de rattrapage entre les principales parties prenantes et les équipes de sécurité. « Nous ne voulons pas créer de tickets pour les personnes sans qu’elles ne fassent partie de la conversation, en les incluant dans le processus de gestion des vulnérabilités dès le début, avant même que les problèmes ne génèrent un ticket », explique Solar.
La clarté contextuelle permet une atténuation plus rapide
Par exemple, Wiz a été en mesure de lier les comptes de service aux accès aux données sous-jacentes qu’ils ont activées, en veillant à ce que les problèmes pertinents soient associés de manière appropriée pour révéler exactement quels systèmes et ensembles de données étaient à risque.
« Comprendre quand un compte de service particulier est en mesure de voir les ressources dans différents projets ou environnements permet de déterminer si un compte peut avoir plus d’autorisations que ce à quoi vous vous attendriez et comment cela se rapporte aux déploiements et aux ressources actifs », explique Solar. La mise en évidence de ces problèmes en un seul endroit a permis aux équipes de Revolut de comprendre immédiatement comment réduire les autorisations aux fonctions strictement nécessaires.
Grâce à la fourniture automatique de ces informations par Wiz, Solar constate une réduction significative du temps et des efforts des chercheurs en sécurité qui doivent rechercher manuellement des détails auprès des ingénieurs sur l’utilisation d’un compte donné, afin qu’il puisse passer à la phase d’atténuation sans délai.
Le fait de mettre les problèmes en contexte montre comment ils peuvent s’enchaîner pour créer un gros problème, mais c’était toujours un problème lorsqu’ils étaient identifiés indépendamment. Le fait que Wiz sache automatiquement comment les problèmes sont liés aux actifs sous-jacents est extrêmement puissant.
Pour Revolut, la clarté et la concentration apportées par Wiz ont soutenu les efforts de l’équipe pour renforcer la confiance entre les équipes de sécurité et d’ingénierie. Après avoir créé de nouveaux comités interfonctionnels qui se réunissent pour discuter des progrès réalisés en matière de contrôles de sécurité et de conformité, Revolut estime qu’elle atteint son objectif de faire de la sécurité un catalyseur de services client de qualité. De plus, Solar est en mesure d’utiliser le tableau de bord pour montrer à la direction de l’ingénierie dans quelle mesure les vulnérabilités sont corrigées. « Il est important de présenter ce sur quoi vous travaillez sous son meilleur jour », explique Solar, « Wiz nous aide à le faire. »
Moins de demandes, plus d’écoute
Au fur et à mesure qu’elle approfondit son utilisation de Wiz dans l’ensemble de l’entreprise, Revolut prévoit de poursuivre ses efforts pour inclure le personnel dans le processus de décision en matière de sécurité. « Nous voulons prendre en compte les commentaires, car il arrive souvent que l’utilisateur comprenne mieux le contexte que nous », explique M. Solar. « La plupart des travaux d’enquête consistent à demander au personnel ce qu’il pense des événements. Nous voulons minimiser le besoin de poser des questions nous-mêmes et surtout écouter les réponses au fur et à mesure qu’elles arrivent dans le cadre d’un meilleur processus. C’est essentiellement toujours une question de contexte.
Vous voulez savoir comment votre programme de sécurité cloud peut obtenir les mêmes résultats que Revolut ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
