Paidy se tourne vers Orca Security pour une visibilité multi-cloud, économise deux ETP et 500 000 $/an en coûts de gestion de la sécurité du cloud

Paidy : une institution financière japonaise dans le cloud

Paidy est un leader de la technologie financière dans l’offre de paiements sans carte et d’autres services financiers au marché de masse et aux entreprises japonaises. Ses solutions sont à l’avant-garde pour révolutionner les paiements en ligne et mobiles, les transferts P2P, les finances personnelles et le règlement des commerçants. Paidy permet aux clients de payer en utilisant uniquement leur adresse e-mail et un numéro de téléphone portable. Aucune carte de crédit ou préinscription n’est nécessaire. Pour éviter la fraude, chaque transaction est authentifiée à l’aide d’un code PIN envoyé par SMS. Les clients peuvent acheter maintenant et payer une facture consolidée le mois suivant.

L’intégralité de la plateforme de Paidy s’exécute dans le cloud, principalement sur plusieurs comptes AWS, mais également sur Azure et GCP. Elle dispose de plusieurs environnements de test et de développement. Avec une plateforme traitant les transactions financières, la sécurité est de la plus haute importance. Felix Beatty, le RSSI, est responsable de l’optimisation de la posture de sécurité globale de Paidy.

« Nous sommes essentiellement une institution financière dans le cloud » explique Beatty. « Parce que nous avons connu une croissance si rapide (ayant gagné plus de trois millions de clients en moins d’un an), nous pouvons nous améliorer dans des domaines de notre activité ; l’un d’eux est la sécurité du cloud. La plupart de nos services s’exécutent aujourd’hui sur le cloud, nous avons donc besoin de solutions de sécurité cloud qui font ressortir immédiatement les problèmes critiques afin que nous puissions les résoudre rapidement. »

L’environnement cloud à grande échelle de Paidy fait de la visibilité totale un défi

Gagner en visibilité sur tout ce qui se trouve sur la plateforme Paidy est l’un de ses principaux défis. « Nous avons un environnement cloud vaste et complexe ; il est difficile de gérer tous ces actifs dynamiques » déclare Beatty. « Nous avons des centaines de développeurs qui essaient de pousser les microservices aussi rapidement que possible dans le cloud, de faire tourner des instances et de faire des sauvegardes, de créer des compartiments S3 et de se déplacer si rapidement qu’il est très difficile de savoir à tout moment ce que nous avons. Nous devons savoir : « Quelle est la posture de sécurité actuelle de tous nos actifs cloud ? » »

Jeremy Turner, ingénieur senior de la sécurité du cloud, est son bras droit dans la sécurisation de l’environnement cloud. Les deux font équipe depuis bien avant leur intégration à Paidy et savent comment aborder son défi de sécurité.

Les agents de sécurité sont excellents (si et lorsqu’ils fonctionnent, ce qui est rarement le cas)

« Je fais ça depuis longtemps » déclare Turner. « J’ai appris que tout ce qui concerne la sécurité et la vulnérabilité nécessite généralement l’installation d’un certain type d’agent. Si vous avez travaillé dans l’infosec depuis un certain temps, vous savez que les agents se cassent, ils doivent être mis à jour et qu’ils pourraient être des vecteurs d’autres vulnérabilités de sécurité. »

Turner admet que les agents sont excellents (si et lorsqu’ils fonctionnent). « Habituellement ce n’est pas le cas. Il y a tellement de dépendances et d’autres choses auxquelles vous devez penser. Un agent peut ou non fonctionner sur ce noyau Linux, et il en est de la même pour les versions de Windows. Il y a tellement de variables qui entrent en jeu. Après des années passées à gérer des agents, voir à quel point il est facile d’installer et d’utiliser Orca, je savais que son approche sans agent était à la fois une innovation majeure et un changement de donne » déclare Turner.

« Un agent peut ou non fonctionner sur ce noyau Linux, et il en est de même pour les versions de Windows. Il y a tellement de variables qui entrent en jeu. Après des années de traitement avec des agents, voir à quel point il est facile d’installer et d’utiliser Orca, je savais que son approche sans agent était à la fois une innovation majeure et un changement de donne. »
Jeremy Turner

Ingénieur senior en sécurité du cloud

Les scanneurs de vulnérabilité traditionnels et outils AWS n’étaient pas adaptés

L’équipe de sécurité Paidy avait de l’expérience avec une variété d’outils hérités adaptés au cloud. Turner déclare : « J’ai utilisé Trend Micro, Qualys et Tenable, que ce soit dans un environnement d’entreprise ou pour des tests. Tenable et Qualys donnaient l’impression de ne pas avoir sécurisé leurs produits d’entreprise traditionnels sur le cloud. Cela ne fonctionne pas bien parce que vous devez toujours utiliser des agents. Nous devons toujours faire face à une technologie qui n’est pas destinée à des choses telles que l’absence de serveurs ou de conteneurs. »

« Tenable et Qualys donnaient l’impression de ne pas avoir sécurisé leurs produits d’entreprise traditionnels sur le cloud. Cela ne fonctionne pas bien parce que vous devez toujours utiliser des agents. Nous devons toujours faire face à une technologie qui n’est pas destinée à des choses telles que l’absence de serveurs ou de conteneurs. »
Jeremy Turner

Ingénieur senior en sécurité du cloud

Paidy a également exclu l’utilisation de scanneurs de réseau. Selon Turner, « Ayant de l’expérience avec les scanneurs non authentifiés, je savais qu’ils avaient une visibilité limitée et pouvaient créer des temps d’arrêt.

« Les scanneurs authentifiés peuvent vous fournir plus de données de vulnérabilité, mais ils nécessitent toujours beaucoup de travail pour les configurer, ainsi que pour avoir des privilèges élevés. Cela place votre entreprise face à des risques parce que vous avez essentiellement un autre compte et un mot de passe partagés. »

Les fournisseurs de cloud comme Amazon fournissent des outils d’analyse de sécurité. « AWS Inspector d’Amazon, un analyseur de vulnérabilité, nécessite un agent. Habituellement, il est intégré à l’AMI d’Amazon, mais il ne fonctionne qu’avec certains AMI » poursuit-il. « AWS GuardDuty coche la case pour une analyse des vulnérabilités et un contrôle de conformité. Mais faire des rapports est son plus gros problème ; l’utilisation des données peut être un défi. Il ne fait qu’afficher une liste de vulnérabilités, puis c’est à nous de savoir quoi faire à leur sujet. »

Beatty ajoute : « Parce que nous avons plusieurs comptes AWS et que nous sommes multicloud, il était difficile d’avoir une vue unique où nous pouvions surveiller tout ce qui se passait. La visibilité multicloud était notre premier problème. Deuxièmement, nous n’avons pas le temps et les ressources pour orchestrer un outil en utilisant, par exemple, des services AWS ou quelque chose de similaire. Nous voulons utiliser un service qui ne nécessite aucun agent, où nous n’avons pas besoin de le mettre à jour régulièrement et cela fonctionne tout simplement. » Pour Paidy, Orca Security répond à tous ces besoins et plus encore.

Orca SideScanning™ offre une visibilité indispensable

La plateforme Orca Security est largement différente des autres outils de sécurité. Livrée en tant que SaaS, elle lit le stockage en mode bloc cloud hors bande, d’où le terme SideScanning™. Aucun code ne s’exécute dans l’environnement cloud d’un client. Au lieu de cela, Orca crée un modèle en lecture seule de son environnement cloud, qu’elle analyse ensuite pour évaluer les problèmes de sécurité potentiels.

Avoir une visibilité complète est ce que Turner apprécie le plus. « La visibilité est un problème que chaque organisation rencontre. Orca nous a presque immédiatement donné une visibilité à la fois large et profonde sur notre paysage de menaces » explique Turner. « Lorsque nous prenons ces données et les montrons aux gens, leurs yeux s’écarquillent. Nous avons eu un moment où Orca a révélé un « compromis imminent » d’un système qui flottait dans un environnement de test depuis probablement deux ou trois ans. Le système exécutait un système d’exploitation totalement obsolète. Une fois qu’Orca l’a identifié, nous avons créé un ticket pour un ingénieur pour qu’il s’en charge immédiatement. Nous avons eu la chance de capturer la vulnérabilité avant que le système ne passe à l’UAT et à la production. »

Beatty convient de la valeur de la visibilité : « Il n’y a pas d’excuses pour ignorer les problèmes lorsqu’ils sont présentés juste pour vous. Lorsque le tableau de bord Orca affiche « compromis imminent », ça ne peut pas être plus clair. »

Orca aide également Paidy à résoudre les problèmes d’étalement de compte. « Nous gérons 12 comptes AWS » explique Turner. « Nous ne savions pas ce qu’ils contenaient tous, nous les avons donc connectés à Orca. En 30 minutes, nous avons eu un aperçu de ce qui s’exécutait dans tous les comptes. Nous n’aurions pas pu faire cela si rapidement d’une autre manière. »

La gestion des actifs est une autre fonction qu’Orca Security fournit à Paidy. Orca fournit un inventaire de l’emplacement de chaque élément, des métadonnées et une liste de vulnérabilités. « C’est plutôt sympa de pouvoir choisir une instance et voir qui s’y est connecté, combien de tentatives de connexion ont échoué ou quels packages y sont installés. J’apprécie de pouvoir le faire sans dépendre d’un agent pour chaque instance » déclare Turner.

Orca Security identifie et protège les données personnelles d’identification, facilitant les efforts de conformité de Paidy

Au fur et à mesure que Paidy acquiert de l’expérience avec la plateforme Orca Security, son équipe trouve de nouvelles façons d’utiliser les données qu’elle génère. « En tant qu’entreprise de technologie financière, nous sommes très attentifs aux combinaisons toxiques de données. Orca nous y aide », déclare Turner. « Par exemple, les clients doivent fournir leur numéro de portable pour utiliser notre service. Mais si nous avons affaire à des adresses personnelles ou e-mail combinées à d’éventuelles informations de compte bancaire et à un historique d’achat, nous nous trouvons alors confronté aux problèmes de PII et de réglementation japonaise concernant la confidentialité des données. »

Turner explique comment Orca aide à protéger les PII. « Une fonctionnalité nous permet de savoir si Orca soupçonne des PII. C’est comme un signal lumineux qui nous dit : « Ce serveur contient des adresses e-mail qui n’appartiennent pas à paidy.com. Qu’est-ce qui se passe ? » Nous pouvons ensuite enquêter. Actuellement, l’outil ne dit pas : « Voici une combinaison toxique de données » mais cela nous montre où chasser. Nous avons eu une situation où l’équipe de data science a créé une jonction de bases de données qui a conduit à une combinaison de données toxique. Orca nous a aidé à l’attraper à temps pour l’étouffer dans l’oeuf. »

Paidy doit se conformer à un certain nombre de lois sur la confidentialité des données. Le règlement sur la confidentialité transfrontalière du Japon est similaire au RGPD de l’UE et la loi sur la protection des données personnelles du pays a été promulguée en 2004. Orca aide à prouver aux auditeurs que Paidy est parfaitement capable d’identifier et de chiffrer les données personnelles. Paidy peut être tranquille en sachant qu’Orca a la capacité de rechercher des PII vulnérables.

Turner utilise l’intégration d’Orca Security avec Jira pour ouvrir les tickets. À leur tour, ces derniers déclenchent les flux de travail afin que les personnes et les processus puissent prendre les mesures appropriées ; par exemple, pour chiffrer des données sensibles ou pour résoudre d’autres problèmes détectés par Orca.

« Une fonctionnalité nous permet de savoir si Orca soupçonne des PII… Nous avons eu une situation où l’équipe de data science a créé une jonction de bases de données qui a conduit à une combinaison de données toxique. Orca nous a aidé à l’attraper à temps pour l’étouffer dans l’oeuf. »
Jeremy Turner

Ingénieur senior en sécurité du cloud

Orca augmente les revenus de paiement en accélérant l’intégration des marchands

Orca aide Paidy à intégrer plus de marchands et augmente ainsi son revenu. « Généralement, les marchands veulent faire une évaluation de sécurité de nos systèmes par un tiers » explique Beatty. « Orca nous permet de montrer plus facilement que nous analysons les vulnérabilités et les réduisons en fonction des besoins. Cela rassure les marchands à propos de notre posture de sécurité et aide à établir une relation de confiance avec eux.

Beatty considère ce que cela lui coûterait cher si son équipe devait intégrer et personnaliser plusieurs solutions héritées pour obtenir une visibilité sur leur environnement. Paidy a estimé que cela nécessiterait deux ETP et un demi-million de dollars par an pour faire apparaître et gérer une telle solution, un coût beaucoup plus élevé que le service Orca qui est entièrement géré et maintenu en son nom.

« Lorsque je parle d’Orca à des collègues, je leur dis que cela nous donne un aperçu de tous nos environnements cloud, non seulement sur AWS, mais également sur Azure et GCP. Plus nous avons de comptes, plus nous rentabilisons, car maintenant nous savons ce que nos employés exécutent » explique Beatty.