L’innovateur d’assurance Lemonade passe de 0 à 100 % de visibilité dans le cloud avec Orca Security

INDUSTRIE

Insurance

RÉGION

North America

CHAMPION

Jonathan Jaffe ,
RSSI

ENVIRONNEMENT CLOUD
AWSGoogle Cloud PlatformMicrosoft Azure
Télécharger le PDF
Défis de la sécurité du cloud
  • Obtenez une visibilité complète de l’ensemble du patrimoine cloud
  • Classez rapidement les questions importantes par ordre de priorité en « bouchées digestibles ».
  • Minimisez l’impact sur DevOps
Résultats de la sécurité du cloud
  • Couverture à 100 % des comptes cloud, avec une visibilité totale et des mesures correctives prioritaires, le tout sans impact sur DevOps et l’environnement de production.
  • Capacité de respecter les mandats de conformité et de prouver les contrôles aux auditeurs
  • Le tableau de bord Orca affiche des informations exploitables sur les problèmes prioritaires
  • Tranquillité d’esprit, car il n’y a pas de lacunes dans la couverture

« Tout ce qui a un impact sur le développement se heurtera à une résistance. Mais avec Orca SideScanning, il n'y a aucun impact sur les systèmes. Elle est également facile à utiliser. »

Jonathan JaffeRSSI

Lemonade révolutionne le marché de l’assurance

Lemonade fournit des assurances aux États-Unis et en Europe. Elle fait partie du marché de l’« assurtech », où les fournisseurs d’assurance utilisent des technologies avancées pour offrir des produits et des services innovants que les entités traditionnelles ne peuvent pas égaler.

En tant qu’entreprise relativement jeune, Lemonade dispose d’une pile technologique cloud-native, qui lui permet de fonctionner 100 % en ligne. Cela fait de Lemonade un concurrent agile sur le marché de l’assurance. Par exemple, Lemonade fournit des devis de police à l’aide d’un bot d’intelligence artificielle sur le Web et via ses applications mobiles. Parallèlement, Lemonade est évalué A, entièrement réglementé et réassuré par les noms les plus fiables de l’assurance.

L’expérience antérieure d’Orca du RSSI ouvre la voie

L’infrastructure de Lemonade se trouve entièrement dans le cloud AWS, où il peut être difficile d’obtenir des informations en temps réel sur les vulnérabilités et les risques de sécurité. Même les outils natifs d’Amazon ne fournissent pas toutes les informations dont les praticiens de la sécurité et de DevOps ont besoin.

Jonathan Jaffe a rejoint Lemonade comme son RSSI en 2020. Il a immédiatement cherché à obtenir une visibilité complète de l’ensemble du patrimoine du cloud afin d’évaluer les risques de sécurité. « Lorsque je suis arrivée à bord, il n’y avait pas de solution adéquate en place pour m’informer de nos vulnérabilités » dit-il. « Je voulais une visibilité bien plus grande que celle que nous avions sur les problèmes de vulnérabilité du cloud. »

Source : facebook.com/Lemonade

Orca bat Lacework et Palo Alto Prisma Cloud, ses concurrents basés sur les agents.

« Nous avons évalué Orca Security, ainsi que Palo Alto Prisma Cloud et Lacework » dit Jaffe. « Dans l’entreprise où je travaillais avant, nous avons utilisé Lacework pendant plus d’un an. Au cours de mes quatre derniers mois là-bas, nous avons également exécuté Orca dans un POC, il était donc facile de faire la comparaison Orca côte à côte. Et nous avons évalué Prisma Cloud de manière approfondie. »

Chez Lemonade, l’équipe d’évaluation a dû compter sur des démos de produits pour Prisma Cloud et Lacework, même si Jaffe connaissait très bien Orca et Lacework. « Contrairement à Orca, les autres ont besoin d’agents. DevOps n’était pas enthousiaste à l’idée d’installer et de maintenir des agents. DevOps craignait également les performances que les agents pourraient avoir sur nos systèmes, en particulier la production. Et, sur la base de mes expériences antérieures avec Laceworks, je savais que je me battrais avec une visibilité manquante à cause d’agents manquants. »

Il aura fallu une demi-heure à Orca pour configurer et se déployer dans son intégralité pour le POC. « Nous l’avons fait fonctionner en un rien de temps » dit Jaffe. « Nous avons vu les résultats immédiatement. En moins de 24 heures, nous avons pu voir toutes les ressources et l’environnement de tous nos comptes AWS. De plus, nous pouvions voir rapidement et facilement les problèmes détectés par Orca, qui, heureusement, étaient petits et gérables. »

« Tout ce qui a un impact sur le développement se heurtera à une résistance. Mais avec Orca SideScanning, il n’y a aucun impact sur les systèmes. Elle est également facile à utiliser. »
Jonathan Jaffe

RSSI

Visibilité 100 % cloud et priorisation des problèmes de sécurité

Jaffe a cherché plusieurs fonctionnalités importantes dans une solution de sécurité. « La première est une couverture à 100 %, ce que nous n’obtiendrions jamais avec tout ce qui nécessite l’installation d’agents. Je dois être sûr que nous n’avons pas de lacunes dans la couverture. »

Une autre fonctionnalité indispensable est la possibilité de hiérarchiser ce qui doit être réparé. « Lacework fournit de nombreuses informations, mais nous ne les avons pas trouvées utiles ; au contraire, nous avons constaté que cela nuisait à notre capacité à résoudre les problèmes, en raison d’une trop grande dilution de la valeur des quelques problèmes qu’il aurait pu trouver. De plus, elle ne hiérarchise pas les informations de manière utile. Lorsque nous avons utilisé Lacework, notre analyste de la sécurité a passé la plupart de son temps à se débattre pour comprendre quels problèmes il devrait passer son temps à résoudre. S’il pouvait surmonter ce problème et choisir un problème à poursuivre, il se heurterait au problème suivant : y avait-il vraiment une intrusion, ou s’agit-il encore d’un autre faux positif ? – Tout cela devait se produire avant qu’il ne puisse passer à la remédiation. Avant Orca, nous ne pouvions pas voir un problème à résoudre car les informations étaient si mal organisées.

« Orca est le contraire. Avec les informations présentées dans une matrice, nous pouvons les examiner par type de menace, vulnérabilité, compte, ressource affectée, etc. Nous pouvons afficher les cinq principaux éléments par catégories, telles que les actifs négligés ou les vulnérabilités. Cela place les problèmes dans de petites entités que nous pouvons résoudre une à la fois, au lieu d’être submergés, ce que de nombreux autres produits vous font ressentir. Nous pouvons rapidement traiter les problèmes prioritaires, en reportant ou en écartant complètement ceux de moindre importance. » Pour Jaffe et son équipe, le tableau de bord Orca fournit un effet calmant, car il ne les submerge pas en leur fournissant trop d’informations. Selon lui, « la véritable valeur d’Orca réside dans le fait qu’elle couvre une grande partie de ma sécurité du cloud, en nous informant des vulnérabilités et, à un degré très réduit, des menaces réelles. »

« Orca atténue notre plus grand problème : où sont nos risques de sécurité liés au cloud ? Avant Orca, nous n’avions tout simplement pas la visibilité dont j’avais besoin. »
Jonathan Jaffe

RSSI

Preuve de contrôles pour les audits

Avec son siège social à New York, le département des services financiers de cet État (NYDFS) régule les activités de Lemonade. De plus, l’entreprise est soumise à diverses réglementations de l’UE et dispose de ses propres audits SOC 2. Les rapports d’Orca aident Jaffe à fournir des preuves de contrôle pour les diverses réglementations et audits. « Orca a aidé à réduire mes activités de vérification. Par exemple, je peux exécuter des rapports qui montrent que nous maintenons moins de contrôles de privilège et que nous utilisons l’authentification à plusieurs facteurs. »

Orca alerte également Jaffe en cas de problèmes potentiels de perte de données ou si des données personnelles sont exposées dans des zones à risque. L’équipe de Lemonade peut remédier à ces problèmes bien avant qu’ils ne deviennent un problème qui apparaîtrait dans les rapports d’audit. « Orca est très efficace pour détecter l’exposition potentielle de données de cartes de crédit, d’adresses e-mail, de numéros de sécurité sociale ou d’autres identifiants nationaux », explique Jaffe. « Ce sont des questions prioritaires auxquelles nous pouvons rapidement remédier ».

Les éléments à risque ont été largement réduits

Lemonade a considérablement réduit ses éléments à risque. « Nous les avons réduites à un sixième de ce qu’ils étaient et maintenant nous pouvons les garder sous contrôle en les surveillant » dit Jaffe. « Orca nous permet d’éclairer les choses, nous savons ainsi ce qu’il faut réparer et ce dont nous n’avons pas à nous soucier. »

Ce que Jaffe aime le plus dans Orca est la façon dont elle répertorie les problèmes prioritaires. « Vous pouvez voir les cinq principaux éléments par catégories, tels que les actifs négligés ou les vulnérabilités. Cela place les problèmes en quantités digestibles afin que nous puissions les résoudre un par un, au lieu d’être submergés, comme beaucoup d’autres produits vous le font ressentir. »

Il aime également l’interface, déclarant que le tableau de bord a un effet apaisant, car il ne le submerge pas en lui fournissant trop d’informations. Selon Jaffe : « La vraie valeur d’Orca est de couvrir une grande quantité de ma sécurité du cloud, en m’informant des vulnérabilités et, dans une moindre mesure, des menaces réelles. »

« Avec Orca, nous avons notre configuration AWS sous contrôle. Nous avons plus de 12 000 actifs. Actuellement, en ce moment même, seuls trois d’entre eux sont répertoriés comme prioritaires à corriger. C’est fantastique, surtout si l’on considère la fréquence à laquelle les environnements cloud changent. »
Jonathan Jaffe

RSSI

Lemonade Étude de Cas

5 pages, 4.1MB

Télécharger le PDF
See Orca in action Voir Orca en action-> Regardez une démo de 10 minutes enregistrée ou inscrivez-vous à un parcours sur-mesure en tête-à-tête.