Défis
Tide avait besoin d’améliorer sa capacité à suivre ce qui était déployé sur ses multiples comptes AWS conteneurisés et à nettoyer les ressources héritées qui n’étaient plus nécessaires.
Au fur et à mesure que Tide poursuivait à faire mûrir son infrastructure cloud, des problèmes découverts en production auraient pu être résolus avant qu’ils ne se retrouvent dans l’environnement de production.
Tide utilisait un outil CSPM qui produisait des alertes sans fin, mais peu d’entre elles étaient pertinentes en ce qui concerne la façon dont Tide exploitait son infrastructure.
Solutions
Tide a acquis une vue d’ensemble de ce qui se passait dans ses conteneurs et systèmes hérités qui coûtaient de l’argent et étaient vulnérables aux menaces externes.
De la source à la production, Tide a automatisé des garde-fous pour alerter les développeurs sur les problèmes dès le début de leurs builds et les corriger avant qu’ils n’affectent les flux de production.
Tide a été en mesure de réduire le nombre de faux positifs et de prioriser ses problèmes les plus critiques à l’aide d’informations contextualisées exploitables fournies par Wiz.
Petites entreprises, grande sécurité
Tide est le challenger bancaire qui fournit des services bancaires aux d'entreprises numériques au Royaume-Uni. Il fournit des services financiers aux MPME et à l’une des fintechs à la croissance la plus rapide au monde. Depuis 2015, l’entreprise a permis à plus de 500 000 petites et moyennes entreprises d’accéder instantanément à des outils financiers, notamment les feuilles de paie, la comptabilité automatisée, la facturation, le financement des factures et plus encore. En mai 2023, la société détenait plus de 9 % des parts de marché au Royaume-Uni. Dans un tel contexte, le responsable principal de la sécurité des systèmes d’information chez Tide, Ben Dewar-Powell, et son équipe, reconnaissent l’énorme importance d’une plateforme rapide, stable et sécurisée pour tous les membres de Tide.
Pour l’équipe de sécurité des produits et des plateformes, dirigée par Ashleigh Vincent, il est fondamental de fournir des conseils pour s’assurer que les développeurs intègrent une conception sécurisée, du projet à sa mise en œuvre. « Il s’agit de soutenir et de responsabiliser les développeurs », explique Vincent. « Nous évitons d’être un bloc et l’équipe de sécurité du 'non'. Au lieu de cela, nous nous concentrons sur les commentaires utiles afin que les développeurs comprennent les problèmes soulevés, ceux qui seront soulevés et la manière de les corriger ou éviter. »
Atténuation des risques sur l’ensemble des conteneurs
Tide est hébergé sur AWS et exploite un cloud moderne et conteneurisé qui apporte plus d’agilité des applications et de la structure des coûts, tout en présentant des défis naturels. Pour des raisons réglementaires, l’environnement se compose de différents comptes AWS, régionales et opérationnelles. Il est essentiel de comprendre où se trouvent les vulnérabilités dans un conteneur spécifique, de cibler les réponses et de résoudre rapidement les problèmes. « Vous avez besoin de visibilité et de comprendre ce qui est déployé dans votre cloud, plutôt que d’appliquer d’anciens paradigmes de sécurité basés sur des serveurs », explique Vincent. Avant Wiz, Tide utilisait l’analyse des conteneurs dans le pipeline, ce qui impliquait la création d’un conteneur, son analyse, l’alerte sur les vulnérabilités et enfin son tri. « Cette approche ne vous indique pas nécessairement si ce conteneur s’exécute quelque part », ajoute Vincent.
Au début, pour obtenir une image complète de l’infrastructure cloud de Tide, les systèmes devaient être examinés manuellement avant d’essayer un certain nombre d’outils open source et commerciaux différents. Mais ils ont généré beaucoup de bruit et de résultats ayant nécessité un examen minutieux afin de mettre en évidence ce qui était essentiel pour Tide. « Les outils alertaient sur quelque chose qui est intégré de par sa conception, et non sur un problème », se souvient Vincent. Cela entraînait un fardeau insoutenable pour l’équipe de sécurité de Tide.
Il s’agit de trouver une manière de personnaliser ce qui vous tient vraiment à cœur. Si vous êtes responsable d’une équipe de sécurité restreinte au sein d'une entreprise qui compte de nombreux ingénieurs, il est fondamental de l’intégrer.
Responsabiliser les développeurs en devenant un conseiller de confiance
Vincent inculque une mentalité axée sur la sécurité sans dire aux ingénieurs ce qu’ils peuvent améliorer. « Le Saint Graal est d’automatiser autant que possible le travail manuel. Nous voulons ouvrir la voie de la réussite et donner aux ingénieurs la liberté d’innover. »
Les développeurs avaient besoin d’être avertis plus tôt que leur code, s’il était déployé, pouvait introduire des problèmes. Et les pousser à s’engager régulièrement avec un outil de sécurité cloud c'était exigeant. C’était en dehors de leur flux de travail quotidien et créait plus de tâches. Wiz peut être intégré aux systèmes de billetterie et un ingénieur peut repérer un problème, créer un ticket et informer le propriétaire du produit des changements. « Notre objectif est de passer à un modèle qui nous en informe rapidement en cas de problèmes et qui nous permette d'apporter des changements en conséquence », fait remarquer Vincent.
Wiz élimine les tracas et la réflexion. Vous le branchez sur vos comptes et pouvez voir les 10 aspects principaux dont vous devez vous soucier dans le cloud.
Une solution personnalisée et automatisée
Tide a vu l’avantage de regrouper plusieurs outils en une seule solution pour obtenir une visibilité totale sur l’ensemble de ses environnements conteneurisés. Cela a permis à l’entreprise de gagner du temps et d’éviter de gérer plusieurs systèmes pour résoudre les problèmes. Grâce à une vue complète de son environnement cloud, la sécurité et les développeurs peuvent désormais mieux comprendre sur quoi il faut se concentrer.
Tide a créé des garde-fous de sécurité à partir desquels les ingénieurs peuvent travailler avec Wiz et, grâce à l’intégration de la billetterie, les problèmes ont pu être résolus avec moins de friction. « Avec la possibilité d’utiliser un seul outil, j’ai pu créer la même automatisation à partir du back-end ; autrement, je devrais créer deux ensembles d’automatisation différents qui alertent de manière légèrement différente », explique Vincent. « Un outil différent aurait représenté deux fois plus de travail pour mon équipe. »
Wiz est bien plus qu’un fournisseur de CSPM. Il coche beaucoup d’autres cases. Analyse des vulnérabilités sur les images de disque, analyse des conteneurs et du périmètre.
Prendre de l’avance sur les problèmes
Avec Wiz, Tide peut identifier et éliminer les risques avant qu’ils ne deviennent un obstacle. Prioriser les vulnérabilités et erreurs de configuration les plus critiques signifiait également réduire au silence les faux positifs. Les équipes peuvent désormais se concentrer sur des tâches plus importantes. « Nous ne voyons que ceux qui nous intéressent réellement et qui fonctionnent dans notre environnement de production. Et grâce à l’alerte précoce, les défauts n’arrivent jamais en production. », explique Vincent.
Réduction du temps de découverte
L’équipe de sécurité de Tide bénéficie de la capacité de Wiz à rechercher les expositions avant qu’elles ne deviennent des gros problèmes. Vincent a été en mesure d’avertir les équipes internes de l’impact potentiel d’une récente vulnérabilité OpenSSL avant que les détails techniques ne soient annoncés. « Je voyais qu’il allait y avoir une vulnérabilité dans cette version d’OpenSSL et je cherchais à comprendre où elle s’exécutait dans notre infrastructure », explique Vincent. « Nous avons pu prévenir toutes les équipes afin qu’elles puissent planifier à l’avance. »
Tide n’a alerté que les équipes touchées si quelque chose était présent dans leurs conteneurs. « Non seulement nous avons pu voir les conteneurs construits dans nos pipelines qui contenaient la vulnérabilité, mais nous avons également pu voir exactement ceux qui seraient touchés dans les jours à venir. Ce n’est pas le temps de remédiation que Wiz vous épargne, mais le temps de découverte qui est très précieux. »
Tide utilise le Wiz Dynamic Scanner pour effectuer automatiquement une capture d’écran et des informations de base pour chaque nouvelle ressource publique et les publier sur un canal de communication interne. Cela permet aux ingénieurs de voir facilement chaque partie du périmètre Internet de Tide et de communiquer facilement les changements.
Il peut être difficile de faire remonter les détails techniques auprès des dirigeants et décideurs lorsque les bonnes pratiques ne sont pas suivies. Mais la simplicité de l’interface de Wiz vous vient en aide. « C’est là que les jolis graphiques de Wiz s'avèrent utiles », explique Vincent. « Sans trop entrer dans les détails, je peux montrer un graphique qui va dans la bonne direction, et ça a du sense. »
Encourager l’innovation
Tide utilise Wiz pour permettre aux ingénieurs qui expérimentent de nouvelles technologies de découvrir d’éventuelles erreurs de configuration de la sécurité dans la phase de test. « Cela les aide à réfléchir à la conception », explique Vincent. « Le travail se fait dans le compte de test, que Wiz peut voir et pointer du doigt tous les problèmes présents à l’intérieur. »
De plus, l’équipe souhaite s’appuyer davantage sur les fonctionnalités de projet de Wiz et sur la possibilité de diviser un certain nombre de projets en fonction du domaine. Les développeurs peuvent baliser leurs propres conteneurs et l’infrastructure AWS, et obtenir une vue ciblée de leur domaine. « C’est la prochaine étape à mesure que nous mûrissons avec Wiz », explique Vincent. « Cela encouragera les développeurs à utiliser l’interface, car ils ne verront que ce qu’ils doivent cibler. »
Vous voulez savoir comment votre programme de sécurité cloud peut obtenir les mêmes résultats que Tide ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
