Centre de gestion de la confidentialité Wiz Security

Authentification et autorisation fortes

Wiz impose l’utilisation d’une plate-forme d’authentification unique (SSO) et d’une authentification multifacteur (MFA) FIDO2 résistante au phishing pour l’accès des employés aux systèmes Wiz. Wiz utilise des rôles IAM et des jetons de courte durée pour accéder aux environnements cloud. L’accès aux environnements de développement et de production est encore plus restreint grâce à l’utilisation d’un processus d’administration juste-à-temps afin de minimiser les privilèges permanents, les vérifications de l’état des appareils et l’utilisation d’une solution d’accès réseau Zero Trust.

Architecture de sécurité cloud

L’environnement de production Wiz fonctionne comme une infrastructure immuable et est strictement géré par le biais d’une infrastructure en tant que code. Des mécanismes automatisés intégrés au processus SDLC et au pipeline CI/CD de Wiz garantissent que les modifications de configuration sont strictement contrôlées, soumises à des contrôles de sécurité et soumises à un audit et à une approbation. Les modifications non autorisées apportées à la production sont automatiquement détectées et transmises aux équipes de sécurité et d’exploitation. Wiz utilise des mécanismes de sécurité réseau natifs du cloud, en conjonction avec ses contrôles d’authentification et d’autorisation, pour restreindre l’accès à distance à l’infrastructure cloud, appliquer un périmètre sécurisé et séparer les environnements internes.

Wiz4Wiz

Wiz utilise un déploiement interne de son propre produit (« Wiz4Wiz ») pour surveiller et protéger en permanence ses environnements cloud. Les équipes de sécurité et d’ingénierie collaborent sur la plateforme Wiz pour identifier, hiérarchiser et corriger les vulnérabilités, appliquer et valider les contrôles préventifs, ainsi que détecter et répondre aux menaces potentielles. Wiz applique les meilleures pratiques de l’industrie, ainsi que les conseils de ses propres équipes de recherche internes, pour renforcer et évaluer ses environnements cloud sur une base continue.

Cycle de vie de développement sécurisé

Wiz assure la sécurité et l’intégrité de son infrastructure et de son code produit tout au long du SDLC. Ces mécanismes comprennent l’analyse automatisée des secrets, les tests de sécurité statiques et dynamiques, l’analyse des vulnérabilités des images de conteneur à l’aide de WizCLI, l’examen obligatoire par les pairs pour les modifications de code et des fonctionnalités de sécurité supplémentaires dans les plates-formes de contrôle de code source et CI/CD de Wiz. L’équipe de sécurité de Wiz s’associe à l’ingénierie pour effectuer la modélisation des menaces, les examens de conception de sécurité et les examens de mise en œuvre de la sécurité des fonctionnalités émergentes des produits et des modifications apportées à l’infrastructure de développement et de production.

Sensibilisation à la sécurité

Les programmes de sensibilisation de Wiz comprennent une formation récurrente axée sur la sécurité de l’information et la confidentialité des données, des conseils continus sur les menaces émergentes et des directives et procédures spécifiques à l’équipe pour garantir que les employés peuvent adopter des pratiques sécurisées dans leur travail quotidien. En favorisant une culture de sensibilisation à la sécurité, Wiz peut réduire considérablement le risque d’erreur humaine conduisant à des violations de données ou à des incidents de sécurité. Cette approche proactive permet non seulement de protéger les données des clients, mais aussi d’améliorer la réputation de Wiz, de renforcer la confiance des clients et d’assurer la conformité réglementaire, contribuant ainsi à son succès à long terme.

Journalisation, détection et réponse

Wiz utilise un système de gestion des événements d’informations de sécurité qui ingère les données de télémétrie de sécurité des environnements cloud d’entreprise, de développement et de production. Les données entrantes sont traitées via un pipeline de détection et conservées dans un lac de données de sécurité. Les détections et les alertes sont acheminées vers les ingénieurs d’astreinte via des systèmes de tickets, de messagerie et de radiomessagerie. L’équipe de sécurité de Wiz opère dans le monde entier pour trier, enquêter et remédier rapidement aux événements.

Sécurité des points de terminaison

Les stations de travail Wiz exécutent un logiciel de détection et de réponse aux points de terminaison qui fournit des fonctionnalités de prévention des logiciels malveillants et des attaques, de détection, de journalisation des activités, de confinement et d’investigation. Wiz déploie également un logiciel de prévention des pertes de données pour protéger et gérer le flux d’informations sensibles au sein des systèmes Wiz. La gestion des correctifs et de la configuration de sécurité est assurée par les solutions de gestion des appareils mobiles et de gestion des applications mobiles.

Gestion du risque

Le processus de gestion des risques de Wiz est intégré aux fonctions commerciales et techniques de l’entreprise, ce qui aide les équipes à identifier les opportunités d’amélioration de la sécurité et de la confidentialité, et d’atténuation des menaces. Cela permet à Wiz de protéger ses actifs critiques et de respecter ses engagements envers ses clients, ses obligations réglementaires et juridiques. Une gestion efficace des risques permet également à Wiz de s’adapter et d’évoluer dans le paysage en constante évolution des cybermenaces, garantissant ainsi un succès à long terme dans la fourniture de solutions de sécurité robustes.

Gestion des risques liés aux fournisseurs

Assurer la sécurité et la fiabilité des produits et services des fournisseurs est essentiel pour maintenir l’intégrité des offres de Wiz et protéger les données des clients. Un solide programme de gestion des risques liés aux fournisseurs permet d’atténuer les violations potentielles, d’assurer la conformité réglementaire et de préserver la confiance des clients, ce qui en fait un élément essentiel de la stratégie de sécurité globale de Wiz.

Audits et conformité

Wiz maintient un programme complet d’audit et de conformité pour faire respecter les normes de l’industrie, les exigences réglementaires et les lois sur la protection des données dans le monde entier. De tels programmes garantissent que les opérations de Wiz respectent ou dépassent les directives et les meilleures pratiques établies et aident à identifier et à rectifier les vulnérabilités potentielles. Wiz s’engage dans la surveillance par des tiers de ses programmes de sécurité et de confidentialité à l’échelle de l’organisation, ainsi que dans des évaluations techniques récurrentes, telles que les tests d’intrusion et le red teaming, de ses produits et de son infrastructure.

Chiffrement et gestion des clés

Wiz utilise des solutions de clés natives du cloud telles qu’AWS KMS pour le stockage et la gestion sécurisés des clés. Des contrôles automatisés garantissent que les clés ne sont pas stockées ou transférées via des méthodes non sécurisées ou non approuvées.