Live Oak Bank innove tout en facilitant la conformité aux obligations de confidentialité et de sécurité des données

Homegrown Technology de Live Oak Bank est un grand facteur de différenciation

Live Oak Bank est différente de la plupart des banques à bien des égards. Lancée en tant que banque Internet, Live Oak continue de fonctionner sans emplacements physiques. L’entreprise se concentre sur les petites entreprises et dispose d’une expertise de domaine dans plus de 20 secteurs verticaux spécifiques, tels que les cliniques vétérinaires, les pharmacies, l’agriculture, les soins de santé et d’autres secteurs. Contrairement à ses concurrents, les banquiers de Live Oak s’impliquent beaucoup pour aider les clients à gérer et à faire réussir leur propre entreprise. Son approche partenariale a permis d’atteindre un taux de défaut de remboursement des prêts inférieur à 1 %, bien au-dessous de la moyenne du secteur, qui est de 3 %.

L’entreprise a adopté le cloud depuis le début. Plutôt que de bâtir son activité sur une plateforme bancaire traditionnelle, basée sur un centre de données, Live Oak a développé son propre logiciel. Certaines des technologies de l’entreprise ont été intégrées à de nouvelles entités logicielles. De nombreuses sociétés de technologie financière sont toujours associées à Live Oak Bank pour créer un noyau intégré au cloud et basé sur l’API. La technologie du cloud est au centre de tout ce que fait Live Oak.

Thomas Hill a rejoint Live Oak Bank il y a six ans en tant que DSI. À mesure de la croissance de l’entreprise et de l’élargissement de son portefeuille de technologies développées en interne, il est devenu nécessaire de séparer les rôles de l’informatique et de la sécurité, et Hill a donc assumé le poste de RSSI. « Nous voulons que notre entreprise soit rapide et en temps réel. Nous voulons que l’entreprise soit en mesure de se déplacer et de changer à la vitesse de la lumière » déclare Hill. « Mon travail consiste à m’assurer que nous pouvons le faire en toute sécurité et dans le respect de toutes les contraintes réglementaires. »

Donner un pouvoir d’autonomie aux DevOps (sans les gêner)

Fort de la tradition d’une entreprise qui crée son propre logiciel, l’équipe DevOps est encouragée à être audacieuse et innovatrice. Un responsable traditionnel de la sécurité peut entraver le processus DevOps en lui imposant de ralentir et de prendre en compte la sécurité à chaque étape du processus. Mais Hill refuse d’être un obstacle à l’équipe de développement. « La dernière chose que nous voulons faire est de contraindre nos développeurs », dit-il. « Nous voulons qu’ils sortent des sentiers battus et créent de nouvelles choses, c’est pourquoi nous leur donnons le pouvoir de fabriquer ce dont ils ont besoin, mais de manière responsable. »

« Dans le passé, et je veux dire il y a trois mois, nous analysions notre environnement une fois par mois » explique Hill. « Au fond, je m’inquiétais de voir un développeur faire défiler un script qui construit un environnement entier, construit une nouvelle pile et qu’il commence à tester des choses. Il peut être à une mauvaise configuration près de le publier sur Internet. Nous devons le détecter, mais faire une analyse une fois par mois n’allait pas suffire. Lorsque vous travaillez en temps réel, vous devez tout voir en temps réel. »

C’est là qu’Orca entre en jeu. « Nous voulons être en mesure de voir l’ensemble de notre environnement, et pas seulement les appareils qui ont une adresse IP, qui peuvent être accessibles et que nous connaissons » explique Hill. « Orca est une excellente solution pour nous, car nous voulons donner aux développeurs le pouvoir d’innover, mais nous avons besoin d’une analyse proche du temps réel sans impact sur les opérations. »

« L’équipe d’infrastructure informatique est également heureuse, parce que nous examinons l’environnement dans son ensemble, en le mettant de côté et en faisant l’analyse complètement hors ligne. Nous ne leur demandons rien, comme des agents d’installation, pour maintenir ce processus » déclare Hill.

« Orca nous a dit que nous pourrions avoir une certaine visibilité dans les 5 ou 10 minutes et je me suis dit : « Ce n’est pas possible ». Eh bien, j’ai eu tort. Ils l’ont vraiment fait et SideScanning n’a pas eu d’impact sur tout ce que nos développeurs faisaient. »
Thomas Hill

RSSI

Orca fait le travail de plusieurs outils dans la boîte à outils de sécurité

L’équipe d’Hill a effectué un POC avec Orca et a compris en quelques jours à quel point elle serait utile. La visibilité qu’elle offre à l’équipe de sécurité ne ressemble à rien comparé à ce que d’autres outils peuvent fournir, même ceux dont les agents sont mis en place sur les appareils. « Je ne peux pas sous-évaluer l’importance d’obtenir une visibilité de l’ensemble du cloud dans un environnement hors ligne afin de ne pas interrompre l’accès opérationnel et à la production. La méthode de SideScanning™ d’Orca est une véritable innovation » dit Hill. « Elle élimine toute friction avec notre groupe informatique. »

« La chose la plus importante pour un responsable de la sécurité est de savoir ce qu’il y a afin d’étendre les bons contrôles au bon environnement. Orca nous donne cette visibilité de sorte que nous sachions où concentrer notre énergie. »
Thomas Hill

RSSI

Live Oak a utilisé les scanneurs de vulnérabilité traditionnels du secteur pour des évaluations de cloud. Hill voit qu’Orca fait un travail plus complet d’analyse des actifs du cloud sans avoir à utiliser d’agents encombrants. « La meilleure pratique pour l’exécution d’outils basés sur des agents est mensuelle. Je ne suis pas à l’aise avec l’idée d’attendre aussi longtemps entre des analyses » explique Hill. Avec Orca, il peut l’exécuter quotidiennement sans aucun impact sur la production.

« Nous prévoyons de remplacer plusieurs solutions uniques par Orca, car Orca fait beaucoup plus que de la simple analyse de vulnérabilité. Elle recherche pour la prévention des pertes de données. Elle fait une analyse de virus. Elle effectue un inventaire. Orca fait tout, tout en nous faisant gagner du temps et de l’argent. »
Thomas Hill

RSSI

Orca facilite la conformité avec les règlements fédéraux pour les institutions financières

Live Oak Bank dispose d’un vaste patrimoine AWS. Hill dit qu’elle a plus d’une douzaine d’organisations, chacune étant son propre mini-centre de données AWS. De plus, la banque dispose de partenaires fintech qui utilisent à la fois AWS et Azure, avec les systèmes de Live Oak qui les interconnectent.

En tant que banque à charte, Live Oak doit se conformer à la confidentialité et à la sécurité des données. Ici, la FDIC, en tant que membre du Conseil d’examen des institutions financières fédérales (FFIEC), a publié une déclaration traitant de l’utilisation de services de cloud computing et de principes de gestion des risques de sécurité dans le secteur des services financiers. « La lettre de déclaration de la FDIC n’est qu’une orientation aujourd’hui, mais nous nous attendons à ce qu’elle devienne bientôt une exigence », explique Hill. « Orca nous aide à transmettre la posture de sécurité de nos environnements cloud, ce qui est extrêmement important pour nous en tant que banque. Notre groupe de risques d’entreprise trouve qu’il est très avantageux de disposer d’un outil comme Orca pour répondre à ce besoin. »

En raison des exigences réglementaires régissant les données financières, Live Oak utilise une version hybride SaaS d’Orca Security, appelée Orca Pod. Cela permet à la banque de conserver ses données dans son propre environnement tout en transférant uniquement des métadonnées à Orca.

« Lorsque mes pairs me posent des questions au sujet d’Orca, je leur dis : « Si vous êtes dans le cloud ou que vous pensez au cloud, vous avez besoin d’un outil comme Orca qui vous donne la capacité d’être proactif. Sans cela, vous ne faites que supposer. » »
Thomas Hill

RSSI